Alerte - AL25-018 - Vulnérabilité touchant les composants React Server – CVE-2025-55182

Numéro : AL25-018
Date : 4 décembre 2025

Auditoire

La présente alerte s'adresse aux professionnelles et professionnels et aux gestionnaires des TI.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d'information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d'atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d'offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le 3 décembre 2025, le Centre pour la cybersécurité a été informé d'une vulnérabilité critique liée à l'exécution de code à distance (RCE pour Remote Code Execution) préauthentification^{Note de bas de page 1}, publiée sous le nom CVE-2025-55182^{Note de bas de page 2}, touchant le protocole « Flight » des composants React Server (RSC pour React Server Components) dans les écosystèmes React 19 et les cadres d'application qui servent à les mettre en œuvre, notamment Next.js. Cette vulnérabilité est le résultat d'une désérialisation non sécurisée qui exploite une lacune dans la façon dont React décode les charges utiles tirées des requêtes HTTP et les transmet aux points terminaux React Server Function, permettant possiblement une RCE non authentifiée sur le serveur.

Le Centre pour la cybersécurité a consulté des rapports de source ouverte indiquant que de multiples preuves de concept étaient disponibles et que la vulnérabilité pouvait facilement être exploitée dans la nature^{Note de bas de page 3}.

Le 3 décembre 2025, le Centre pour la cybersécurité a publié le bulletin de sécurité AV25-804^{Note de bas de page 4} dans la foulée des mesures prises pour atténuer cette vulnérabilité.

Mesures recommandées

Le Centre pour la cybersécurité recommande aux organismes d'appliquer des correctifs aux instances de React suivantes :

Les bibliothèques et les cadres d'application qui regroupent les mises en œuvre de react-server sont plus susceptibles d'être touchés. En voici des exemples :

• Next.js (versions 15.x, 16.x et 14.3.0-canary.77 et versions plus récentes)
  • On a déterminé que la vulnérabilité CVE-2025-66478^{Note de bas de page 5} était un duplicata de la vulnérabilité CVE-2025-55182.
• Plugiciel RSC Vite
• Plugiciel RSC Parcel
• Illustratio d'une RSC React Router
• RedwoodSDK
• Waku

Il est impératif pour les organismes d'identifier et de prioriser les systèmes vulnérables et d'appliquer sans tarder les correctifs à ces systèmes conformément aux conseils du fournisseur ci-dessous^{Note de bas de page 1}.

S'il n'est pas possible d'appliquer immédiatement les correctifs, il convient de limiter l'exposition des façons suivantes :

1. Mise en place d'un pare-feu d'applications Web (WAF) : Configurer votre pare-feu d'applications Web (WAF pour Web Application Firewall) pour bloquer les requêtes malveillantes ou mal formées qui ciblent les points terminaux React Server Function.
2. Restriction de l'accès : Mettre en place des listes de contrôle d'accès (LCA) ou des pare-feu afin de limiter l'accès aux adresses IP ou aux réseaux de confiance.
3. Désactivation de RSC : Désactiver temporairement les composants et les fonctions du serveur; les applications sans RSC ne sont pas touchées par cette vulnérabilité.

De plus, le Centre pour la cybersécurité recommande fortement aux organisations de mettre en œuvre les 10 mesures de sécurité des TI du Centre pour la cybersécurité, en particulier celles liées aux sujets suivants^{Note de bas de page 6}.

• Appliquer des correctifs aux applications et aux systèmes d'exploitation
• Segmenter et séparer l'information
• Isoler les applications Web

Si les destinataires relèvent des activités semblables à l'information fournie dans la présente alerte, on les invite à les signaler par l'entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.