Next.js 13-16 : RCE CVSS 10 dans React Server Components

CVE-2025-55182 permet une RCE non authentifiée via un POST HTTP malveillant vers les endpoints Server Function dans React 19+, affectant Next.js 13-16. Les développeurs frontend doivent corriger immédiatement ou risquer un compromis total du serveur sans identifiants.

Vulnérabilités critiques des React Server Components : Corrigez RCE, DoS et exposition du code source dès maintenant

Les développeurs React JS, en particulier ceux qui construisent avec React 19+ et Next.js 13-16, font face à une crise de sécurité urgente. Le 13 mai 2026, des chercheurs ont divulgué trois vulnérabilités de haute gravité dans React Server Components (RSC) : CVE-2025-55182 (CVSS 10 RCE), CVE-2025-55183 (exposition du code source), et CVE-2025-55184 (DoS). Ces failles impactent les paquets comme react-server-dom-webpack/parcel/turbopack 19.0.0-19.2.1 et les versions Next.js 13x-16x, utilisés par des millions de développeurs web frontend pour des applications scalables.

Résumé exécutif : Ce qui rend ces vulnérabilités critiques

CVE-2025-55182 est la plus alarmante — un score CVSS parfait de 10/10 pour l'exécution de code à distance (RCE). Les attaquants peuvent exécuter du code arbitraire sur votre serveur Node.js avec des requêtes HTTP POST non authentifiées vers les endpoints Server Function. Choquant, cela fonctionne même si vous n'utilisez pas explicitement Server Actions, tant que RSC est activé.

CVE-2025-55183 fuit la logique Server Action et le code source, exposant des règles métier propriétaires ou des clés API. CVE-2025-55184 déclenche un déni de service (DoS) via des blocages intensifs en CPU, paralysant les serveurs de production. Cadres affectés incluent Vite, React Router, RedwoodSDK, et plus. Score d'actualité : urgence 8/10 — corrigez aujourd'hui pour éviter les violations.

En tant que développeur web frontend s'appuyant sur React JS pour le développement web personnalisé, ces attaques sapent la promesse fondamentale de RSC : rendu côté serveur sans gonflement JS client. Les applications de production sont à risque maintenant.

Guide de correction étape par étape pour React JS et Next.js

Mettez à jour immédiatement. Voici comment pour les paquets clés :

  1. React et react-server-dom : Exécutez npm update react@19.2.2 react-dom@19.2.2 react-server-dom-webpack@19.2.2 (ou 19.0.2+ pour les branches plus anciennes, 19.1.3+ pour 19.1.x). Vérifiez avec npm ls react-server-dom-webpack.
  2. Next.js : npm install next@14.2.35 (13.x), next@15.0.7 (15.x), ou next@16.0.10 (16.x). Mettez à jour package.json :
{\ \\"dependencies\\": {\ \\"next\\": \\"^16.0.10\\"}