Akamai acquiert LayerX, offrant une sécurité de bout en bout et un contrôle en temps réel de l'utilisation de l'IA sur n'importe quel navigateur. En savoir plus

CVE-2025-55183 et CVE-2025-55184 : atténuation des vulnérabilités React/Next.js

Partager

Synthèse

Nos partenaires nous ont signalé la récente découverte de deux vulnérabilités affectant plusieurs frameworks basés sur React.

Akamai a déployé des règles rapides Akamai Adaptive Security Engine visant à protéger ses clients contre ces menaces. Pour les clients Guardicore abonnés à Akamai Hunt, Akamai a recherché et identifié les actifs vulnérables concernés dans les environnements des clients et a proposé des recommandations pour protéger ces actifs.

Informations sur cette vulnérabilité

Deux nouvelles vulnérabilités ont été détectées dans les frameworks React Server Component (RSC) :

  1. CVE-2025-55183 — divulgation d'informations : des attaquants peuvent manipuler les arguments des Server Functions et amener le serveur à divulguer du code source sensible si les entrées ne sont pas correctement validées.
  2. CVE-2025-55184 — déni de service (DoS) au niveau des fonctions : des charges utiles spécialement conçues peuvent geler les serveurs Node.js en générant une boucle infinie de promesses, ce qui peut conduire à un dysfonctionnement.

Atténuation avec Akamai App & API Protector

Le 10 décembre 2025, Akamai a déployé des règles rapides Adaptive Security Engine pour les clients d'App & API Protector afin de fournir une couverture complète :

  • 3000977 : détection d'une fuite d'informations liée à une vulnérabilité React (CVE-2025-55183)

  • 3000978 : détection d'une attaque par déni de service liée à une vulnérabilité React (CVE-2025-55184)

Synthèse

Akamai a déployé de nouvelles règles dans App & API Protector pour protéger ses clients contre les nouvelles vulnérabilités qui affectent plusieurs frameworks basés sur React.

Les clients d'Akamai Hunt bénéficient d'une surveillance continue 24 h/24, 7 j/7 pour identifier de nouvelles vulnérabilités critiques, comme celles présentées dans cet article, ainsi que de recommandations ciblées pour l'application de correctifs virtuels via les capacités de microsegmentation granulaire de Guardicore.

Les clients Guardicore disposant d'Insight peuvent repérer les actifs vulnérables en utilisant la requête appropriée :

SELECT name, version
FROM npm_packages
WHERE LOWER(name) IN ('react', 'react-dom', 'react-server-dom-webpack', 'react-server-dom-parcel', 'react-server-dom-turbopack') 
AND version IN ('19.0.0', '19.1.0', '19.1.1', '19.2.0')

UNION ALL

SELECT name, version
FROM npm_packages
WHERE LOWER(name) = 'next'
AND ((version LIKE '15.%' AND version < '15.1.3') OR version LIKE '16.%' OR version >= '14.3.0-canary.77');

Toutefois, la mesure de protection la plus efficace reste l'application rapide des correctifs fournis par le fournisseur. En raison de la gravité de cette faille, il est impératif d'appliquer les correctifs dès que possible. Pour plus d'informations sur les correctifs, consultez les articles de blog de React et Next.js.

Restez à l'écoute

Le groupe Security Intelligence d'Akamai continuera de surveiller, générer des rapports et créer des mesures d'atténuation des menaces telles que celles-ci pour nos clients et la communauté de sécurité dans son ensemble. Pour rester au fait des dernières actualités du groupe Security Intelligence d'Akamai, consultez notre page d'accueil de recherche et suivez-nous sur les réseaux sociaux.

Balises

Partager

Articles de blog associés

Recherche sur la sécurité
Xurum : découverte d'une nouvelle campagne Magento
Les chercheurs d'Akamai ont découvert et analysé une nouvelle menace sophistiquée pour Magento qu'ils ont surnommée Xurum. Découvrez les détails de l'attaque et les conclusions dans cet article de blog.
Recherche sur la sécurité
Quel est ce bruit étrange ? Comment les bots d'extraction Web érodent les bénéfices du commerce électronique
June 25, 2024
Le rapport État des lieux d'Internet sur le commerce électronique expose les incidences économiques, les difficultés de détection et la sophistication des bots d'extraction Web.
Recherche
Mini Shai-Hulud : le ver refait surface et devient public
Lisez cet article sur l'attaque de la chaîne d'approvisionnement Shai-Hulud survenue en 2026 : Découvrez comment TeamPCP utilise l'empoisonnement du cache CI et l'abus d'OIDC au sein de la charge malveillante.