La faille React2Shell dans React et Next.js menace les serveurs du monde entier : patchez maintenant !
Une nouvelle faille de sécurité critique affecte les applications utilisant React et Next.js. Surnommée React2Shell, cette vulnérabilité représente une menace sérieuse : elle permet une exécution de code à distance, sans authentification. Voici ce qu'il faut savoir à son sujet.
Sommaire
React2Shell : un Log4Shell version 2025
Cette nouvelle vulnérabilité n'est pas sans rappeler celle surnommée Log4Shell découverte en 2021 dans Log4j, une bibliothèque Java open source. Dans le cas présent, la faille React2Shell (score CVSS de 10/10) a été découverte dans le protocole Flight de React Server Components (RSC).
Par conséquent, l'écosystème React est secoué par cette vulnérabilité, à commencer par le framework Next.js. Les chercheurs de Wiz précisent : "Tout framework ou bibliothèque intégrant l'implémentation react-server est susceptible d'être affecté." - On peut citer aussi RedwoodJS, Waku ou encore Parcel RSC plugin.
Il y a deux références CVE associées à cette vulnérabilité :
- React : CVE-2025-55182, dans le paquet
react-server. - Next.js : CVE-2025-66478
Ces composants sont utilisés comme socle par certaines applications, ce qui signifie que de nombreux serveurs sont potentiellement vulnérables. D'ailleurs, ce chiffre est particulièrement alarmant : "Les données de Wiz Research montrent que 39 % des environnements cloud contiennent des instances vulnérables."
Il est fort probable que des centaines de milliers de serveurs soient vulnérables à React2Shell.
Cette vulnérabilité pourrait rapidement se transformer en arme redoutable pour les cybercriminels. À l'aide d'une requête HTTP spécialement conçue, un attaquant distant non authentifié peut exécuter du code sur le serveur (RCE) qui exécute le composant vulnérable. De quoi passer de l'application React à la ligne de commande sur le serveur... Des PoC commencent déjà à voir le jour sur Internet, notamment sur GitHub (mais attention, il y a de tout et n'importe quoi). Les chercheurs de Wiz affirment que leur PoC (privé) a "une fiabilité proche de 100 %."
Une surface d'attaque majeure...
Les frameworks les plus populaires, utilisés aussi bien pour des sites e-commerce que des plateformes SaaS critiques, sont concernés. La surface d'attaque est majeure. Voici le détail des versions vulnérables.
React Server Components (versions 19.0, 19.1.0, 19.1.1, 19.2.0) : les paquets concernés incluent react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack.
Next.js (CVE-2025-66478) : toutes les versions utilisant l'App Router sont à risque, spécifiquement les versions supérieures ou égales à 15, les versions supérieures ou égales à 16 et les versions "canary" supérieures ou égales à 14.3.0-canary.77.
Comment protéger React et Next.js ?
Si vous utilisez React, un framework ou une bibliothèque vulnérable, ne réfléchissez pas : patchez. Le GitHub de Next.js indique d'ailleurs que les versions suivantes contiennent le correctif :
- React : 19.0.1, 19.1.2, 19.2.1
- Next.js : 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7
"Même si votre application n'implémente aucun point de terminaison React Server Function, elle peut tout de même être vulnérable si elle prend en charge les composants React Server Components.", peut-on lire sur le site de React. Il n'existe aucune solution de contournement fiable : il faut patcher.
La vulnérabilité React2Shell a même déjà un site web dédié : react2shell.com, mis en ligne par Lachlan Davidson, l'auteur de cette découverte. Cela promet...
