Unit 42 Incident Response
Synthèse
Le 3 décembre 2025, des chercheurs ont publiquement divulgué des vulnérabilités critiques d'exécution de code à distance (RCE) dans le protocole Flight utilisé par les composants serveur React (RSC, React Server Components). Ces vulnérabilités sont suivies sous les références CVE-2025-55182 (React) et CVE-2025-66478 (Next.js) et ont reçu la note de sévérité maximale de CVSS 10.0.
CVE-2025-66478 a depuis été rejeté comme étant un doublon de CVE-2025-55182.
La faille permet à des attaquants non authentifiés d'exécuter du code arbitraire sur le serveur via une désérialisation non sécurisée de requêtes HTTP malveillantes. Les tests indiquent que l'exploit a une fiabilité proche de 100 % et ne nécessite aucune modification de code pour être efficace contre les configurations par défaut. Aucun cas d'exploitation dans la nature n'avait été signalé au 3 décembre 2025.
React est massivement implémenté dans les environnements d'entreprise, utilisé par environ 40 % de tous les développeurs, tandis que Next.js est utilisé par environ 18 à 20 %. Cela en fait le principal cadre côté serveur pour l'écosystème React.
Cortex Xpanse de Palo Alto Networks a identifié la présence de plus de 968 000 instances React et Next.js dans notre télémétrie.
Ces vulnérabilités impactent l'écosystème React 19 et les frameworks qui l'implémentent. Plus précisément, elles affectent les versions suivantes :
- React : Versions 19.0, 19.1 et 19.2
- Next.js : Versions 15.x et 16.x (App Router), ainsi que les builds Canary à partir de la version 14.3.0
- Autres frameworks : Toute bibliothèque intégrant l'implémentation react-server, y compris React Router, Waku, RedwoodSDK, Parcel et les plugins Vite RSC
Les clients de Palo Alto Networks bénéficient de protections et de mesures d'atténuation pour les CVE-2025-55182 et CVE-2025-66478 des manières suivantes :
- Les agents Cortex XDR et XSIAM aident à protéger contre les activités post-exploitation en utilisant une approche de protection multicouche.
Palo Alto Networks recommande également de passer immédiatement aux versions renforcées suivantes :
- React : Mise à niveau vers 19.0.1, 19.1.2 ou 19.2.1
- Next.js : Mise à niveau vers les dernières versions stables corrigées, notamment 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 ou 15.0.5
L'équipe de réponse aux incidents de Unit 42 peut être sollicitée pour aider en cas de compromission ou pour fournir une évaluation proactive afin de réduire vos risques.
| Vulnérabilités abordées | CVE-2025-55182, CVE-2025-66478 |
Détails des vulnérabilités : CVE-2025-55182 (React) et CVE-2025-66478 (Next.js)
Les CVE-2025-55182 (React) et CVE-2025-66478 (Next.js) sont classées comme critiques (CVSS 10.0) et sont causées par une désérialisation non sécurisée au sein de l'architecture RSC, impliquant spécifiquement le protocole Flight.
Les vulnérabilités résident dans le paquet react-server et son implémentation du protocole RSC Flight. Il s'agit d'une faille logique de désérialisation là où le serveur traite les charges utiles RSC en toute sécurité.
Lorsqu'un serveur reçoit une charge utile HTTP malformée et spécialement conçue (généralement via des données transmises dans une requête POST), il ne parvient pas à valider correctement la structure des données. En raison de cette désérialisation non sécurisée, le serveur permet aux données contrôlées par l'attaquant d'influencer la logique d'exécution côté serveur.
Cela entraîne une RCE, permettant à un attaquant d'exécuter du code JavaScript privilégié arbitraire sur le serveur.
Vecteur d'attaque et exploitabilité
- Complexité de l'attaque : La complexité de l'attaque est faible. Elle ne nécessite aucune interaction utilisateur ni aucun privilège (non authentifié).
- Points de terminaison ciblés : L'attaque cible les points de terminaison des fonctions serveur React (React Server Functions).
- Nuance critique : Même si une application n'implémente pas ou n'utilise pas strictement les fonctions serveur React, elle reste vulnérable si l'application prend en charge les composants serveur React de manière générale.
- Fiabilité : Les tests ont montré que l'exploit a une fiabilité proche de 100 %.
- Configuration par défaut : La vulnérabilité est présente dans les configurations par défaut. Par exemple, une application Next.js standard créée avec create-next-app et compilée pour la production est exploitable sans aucune modification de code par le développeur.
Composants spécifiques affectés
Bien que généralement décrites comme affectant React et Next.js, les vulnérabilités existent techniquement au sein de paquets sous-jacents spécifiques qui gèrent le rendu côté serveur et le chargement des modules.
Paquets affectés
Les vulnérabilités sont présentes dans les versions 19.0.0, 19.1.0, 19.1.1 et 19.2.0 des paquets suivants :
- react-server-dom-webpack
- react-server-dom-parcel
- react-server-dom-turbopack
Implémentations de frameworks affectées
Tout framework intégrant ces paquets est affecté :
- Next.js : Versions 15.x et 16.x (App Router), ainsi que les builds Canary à partir de la version 14.3.0-canary.77
- Autres écosystèmes : React Router, Waku, RedwoodSDK, Parcel et le plugin Vite RSC sont tous affectés s'ils utilisent les paquets React vulnérables.
Conseils provisoires
Actions requises : L'application immédiate de correctifs est la seule mesure d'atténuation définitive.
Les équipes d'ingénierie et de sécurité doivent immédiatement procéder à la mise à niveau vers les versions renforcées suivantes :
- React : Mise à niveau vers 19.0.1, 19.1.2 ou 19.2.1
- Next.js : Mise à niveau vers les dernières versions stables corrigées, notamment 16.0.7, 15.5.7, 15.4.8, 15.3.6, 15.2.6, 15.1.9 ou 15.0.5
Pour les dernières mises à jour concernant ces vulnérabilités, veuillez consulter la documentation fournie par chaque fournisseur respectif :
Requêtes de chasse aux menaces gérée de Unit 42
L'équipe de chasse aux menaces gérée de Unit 42 (Unit 42 Managed Threat Hunting) continue de suivre toute tentative d'exploitation de cette CVE chez nos clients, en utilisant Cortex XDR et les requêtes XQL ci-dessous. Les clients Cortex XDR peuvent également utiliser ces requêtes XQL pour rechercher des signes d'exploitation.
Les requêtes de chasse suivantes ne sont pas des détections de haute fidélité et doivent faire l'objet d'une enquête pour déterminer si le serveur web exploite des composants serveur React vulnérables.
|
1 2 3 4 5 6 7 8 9 10 11 |
// Description: File operations targeting potentially sensitive files or indications of exploitation of CVE-2025-55182 // Caveat 1: Next.js may still be running if a custom server.js is in use, as such the filtering of 'actor_process_command_line contains ".next"' restricts the results to 'standard' Next.js deployment and if not overly noisy we recommend running the query without it too. // Caveat 2: Vulnerable React Server Component (RSC) endpoints may be served by a wider range of JavaScript runtimes than just NodeJS (such as Bun or Deno) and we recommend re-executing the queries targeting these runtimes if they are used in your environment. config case_sensitive = false | preset=xdr_file | filter actor_process_image_name in ("node","node.exe") and actor_process_command_line contains ".next" and action_file_path ~= "(?:pwned\.txt|\.ssh[\\\/]authorized\_keys|\.aws[\\\/]credentials|gcloud[\\\/]credentials\.db|\.azure[\\\/]accessTokens\.json|2025[\-\_](?:55182|66478))" |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
// Description: Identifies a Node.js process directly spawning common system reconnaissance tools to gather user, network, or process information. // Caveat: May be prone to false positives. Investigate hits within the context of a NodeJS server running a version of React with vulnerable React Server Components config case_sensitive = false | preset=xdr_process | filter actor_process_image_name in ("node","node.exe") and actor_process_command_line contains ".next" and action_process_image_name in ("id","curl","curl.exe","wget","wget.exe","whoami","arp.exe","at.exe","hostname.exe","nbstat.exe","netsh.exe","netstat.exe","nslookup.exe","ping.exe","query.exe","systeminfo.exe","tasklist.exe","traceroute.exe","whoami.exe","whois.exe","quser.exe","qwinsta.exe","nltest.exe","csvde.exe","wevtutil.exe","driverquery.exe","nbtscan.exe","ntdsutil.exe","vssadmin.exe","dsquery.exe","adfind.exe","klist.exe","vssvc.exe") | comp count_distinct(action_process_image_name) as num_procs, values(action_process_image_command_line) as action_process_image_command_line by agent_hostname, actor_process_image_name, actor_process_command_line, action_process_image_name | filter num_procs > 1 |
|
1 2 3 4 5 6 7 |
// Description: Identifies a specific causality chain where Node.js spawns a shell (cmd/bash/powershell), which subsequently spawns a downloader (curl/wget). config case_sensitive = false | preset=xdr_process | filter causality_actor_process_image_name in ("node","node.exe") and causality_actor_process_command_line contains ".next" and actor_process_image_name in ("cmd.exe","powershell.exe","sh","bash","zsh") and action_process_image_name in ("curl","curl.exe","wget","wget.exe") |
Conclusion
La distinction critique de ces vulnérabilités réside dans leur nature de faille logique déterministe dans le protocole Flight, plutôt que d'erreur probabiliste. Contrairement aux bugs de corruption de mémoire qui peuvent échouer, cette faille garantit l'exécution, la transformant en un contournement fiable à l'échelle du système pour les attaquants. Amplifié par l'empreinte massive de Next.js dans les environnements d'entreprise, cela crée un canal direct vers les données internes sensibles.
En fin de compte, cet incident souligne la friction inhérente entre performance et sécurité dans l'architecture moderne. Alors que les composants serveur React optimisent la récupération des données et le référencement (SEO) en rapprochant la logique de la source, ils rapprochent simultanément la surface d'attaque des données les plus sensibles et les plus précieuses des organisations.
Les clients de Palo Alto Networks sont mieux protégés par nos produits, comme indiqué ci-dessous. Nous mettrons à jour ce bulletin de menace à mesure que des informations pertinentes seront disponibles.
Protections des produits Palo Alto Networks pour CVE-2025-55182 et CVE-2025-66478
Les clients de Palo Alto Networks peuvent tirer parti d'une variété de protections produits et de mises à jour pour identifier et se défendre contre cette menace.
Si vous pensez avoir été compromis ou si vous avez une urgence, contactez l'équipe de réponse aux incidents de Unit 42 ou appelez :
- Amérique du Nord (numéro gratuit) : +1 (866) 486-4842 (866.4.UNIT42)
- Royaume-Uni : +44.20.3743.3660
- Europe et Moyen-Orient : +31.20.299.3130
- Asie : +65.6983.8730
- Japon : +81.50.1790.0200
- Australie : +61.2.4062.7950
- Inde : 000 800 050 45107
Pare-feu de nouvelle génération avec prévention avancée des menaces
Le pare-feu de nouvelle génération (NGFW) avec l'abonnement de sécurité Advanced Threat Prevention peut aider à bloquer les attaques via les signatures de prévention des menaces suivantes : 96779 et 96780.
Cortex XDR et XSIAM
Les agents Cortex XDR et XSIAM aident à protéger contre les activités post-exploitation en utilisant une approche de protection multicouche.
SOMMAIRE
Associé Vulnérabilités Ressources
Abonnez-vous aux infos d’Unit 42 