Numéro de série : AV25-834
Date : 15 décembre 2025
Le 11 décembre 2025, React Foundation a publié un bulletin de sécurité visant à corriger des vulnérabilités liées aux produits suivants :
- CVE-2025-55183 et CVE-2025-55184 affectant :
- React-server-dom-webpack – versions 19.0.0 à 19.0.1, 19.1.0 à 19.1.2 et 19.2.0 à 9.2.1;
- React-server-dom-parcel – versions 19.0.0 à 19.0.1, 19.1.0 à 19.1.2 et 19.2.0 à 9.2.1;
- React-server-dom-turbopack – versions 19.0.0 à 19.0.1, 19.1.0 à 19.1.2 et 19.2.0 à 9.2.1.
- CVE-2025-67779 affectant :
- React-server-dom-webpack – versions 19.0.2, 19.1.3 et 19.2.2;
- React-server-dom-parcel – 19.0.2, 19.1.3 et 19.2.2;
- React-server-dom-turbopack – versions 19.0.2, 19.1.3 et 19.2.2.
Les bibliothèques et cadres regroupant des mises en oeuvre de react-server risquent d'être affectés. Exemples courants incluent :
- Next.js
- Plugin Vite RSC
- Plug-Parcel RSC
- Aperçu RSC du routeur React
- RedwoodSDK
- Waku
Le Centre canadien pour la cybersécurité encourage les utilisateurs et les administrateurs à consulter le lien web fourni et à appliquer les mises à jour nécessaires.