J'ai récemment pris connaissance d'une mise à jour de sécurité concernant le protocole des composants serveur React (RSC). Deux nouvelles vulnérabilités ont été identifiées, bien qu'elles ne permettent pas l'exécution de code à distance, ce qui est rassurant.

Protocole des composants serveur React (RSC)

Les vulnérabilités (CVE-2025-55183 et CVE-2025-55184) prennent leur origine dans l'implémentation en amont de React, mais elles ont un impact en aval sur les applications Next.js qui utilisent le App Router. Ces soucis ont été découverts lors de l'examen des correctifs pour React2Shell.

Il est essentiel de prendre des mesures pour atténuer l'impact sur les applications Next.js et garantir une sécurité optimale.

Impact des vulnérabilités

La vulnérabilité CVE-2025-55184 est particulièrement préoccupante car elle peut causer une déni de service (DoS) de haute sévérité. Une requête HTTP spécifiquement conçue peut mettre le serveur en boucle infinie, bloquant ainsi le traitement des futures requêtes.

Quant à la CVE-2025-55183, de sévérité moyenne, elle permet à une fonction serveur de retourner le code source compilé d'autres fonctions serveur, dévoilant potentiellement la logique métier ainsi que des secrets si ceux-ci sont définis directement dans votre code.

Applications affectées et versions corrigées

Les applications Next.js utilisant les composants serveur React avec l'App Router sont concernées. Il est impératif de passer aux versions corrigées. Les versions 13.3 et supérieures sont affectées, et il est recommandé de passer à la version 14.2.3 ou supérieure pour corriger ces vulnérabilités.

Les applications utilisant le Pages Router ne sont pas affectées, mais il est tout de même conseillé de mettre à jour vers la version corrigée pour plus de sécurité.

Actions requises

Je vous recommande vivement d'effectuer une mise à jour vers la dernière version corrigée de votre ligne de version. Pour ce faire, exécutez npx fix-react2shell-next pour initialiser un outil interactif qui vérifie les versions et effectue les mises à jour nécessaires selon les recommandations.

D'après Next.js, il n'existe aucune solution de contournement. La mise à jour est indispensable.

Les détails techniques ont été volontairement limités dans cet avis pour protéger les développeurs n'ayant pas encore effectué la mise à jour.

Protocole des composants serveur React (RSC)

Il est essentiel de prendre des mesures pour atténuer l'impact sur les applications Next.js et garantir une sécurité optimale.

Impact des vulnérabilités

Applications affectées et versions corrigées

Les applications utilisant le Pages Router ne sont pas affectées, mais il est tout de même conseillé de mettre à jour vers la version corrigée pour plus de sécurité.

Actions requises

D'après Next.js, il n'existe aucune solution de contournement. La mise à jour est indispensable.

Les détails techniques ont été volontairement limités dans cet avis pour protéger les développeurs n'ayant pas encore effectué la mise à jour.

Vulnérabilités dans les composants serveur React : mise à jour de sécurité Next.js

Protocole des composants serveur React (RSC)

Impact des vulnérabilités

Applications affectées et versions corrigées

Actions requises

Yves Charvis

Articles similaires

Un regard critique sur le protocole Universal Commerce Protocol de Google

Lumen : Améliorer votre flux de travail Git avec l'IA

Vulnérabilités dans les composants serveur React : mise à jour de sécurité Next.js

Protocole des composants serveur React (RSC)

Impact des vulnérabilités

Applications affectées et versions corrigées

Actions requises

Yves Charvis

Articles similaires

Un regard critique sur le protocole Universal Commerce Protocol de Google

Lumen : Améliorer votre flux de travail Git avec l'IA