C'est l'alerte rouge dans l'écosystème React ce matin. Une vulnérabilité critique, identifiée sous le nom CVE-2025-55182, a été divulguée de manière responsable. Elle affecte directement le cœur de React 19, et plus spécifiquement les React Server Components (RSC).
Si vous utilisez Next.js, Remix, ou tout autre framework s'appuyant sur les dernières fonctionnalités de React 19, votre application est potentiellement exposée.
La vulnérabilité réside dans la manière dont React 19 sérialise certaines données traversant la frontière entre le Serveur et le Client. Dans des conditions spécifiques, un attaquant malveillant peut manipuler les payloads des Server Components pour injecter du code arbitraire ou exfiltrer des variables d'environnement sensées rester côté serveur.
[!WARNING] Cette faille est classée Critique avec un score CVSS de 9.8. Elle ne nécessite pas d'authentification préalable pour être exploitée.
Server Actions sans validation stricte des entrées.Next.js, étant le porte-étendard des RSC, est directement impacté. Une CVE secondaire, CVE-2025-66478, a été attribuée spécifiquement à l'implémenation de Next.js.
Le problème survient dans le routeur de l'App Router (app/), où une requête spécialement forgée peut contourner les middlewares de sécurité si elle cible directement un endpoint de Server Action.
La réaction de l'équipe React et de Vercel a été immédiate. Des correctifs sont déjà disponibles.
Si vous n'utilisez pas de framework, mettez à jour vos dépendances React :
npm install react@19.2.5 react-dom@19.2.5
Pour les utilisateurs de Next.js, la version 15.1.3 corrige la faille CVE-2025-66478 et inclut les correctifs de React.
npm install next@15.1.3
En attendant le déploiement, vérifiez manuellement vos Server Actions sensibles. Assurez-vous d'utiliser une librairie de validation comme Zod pour chaque entrée utilisateur, server-side.
// Exemple sécurisé
export async function updateProfile(formData: FormData) {
'use server'
const schema = z.object({
email: z.string().email(),
});
const result = schema.safeParse(Object.fromEntries(formData));
if (!result.success) {
throw new Error('Invalid data');
}
// ... traitement
}
Cet événement nous rappelle que la frontière entre le client et le serveur, bien que floutée pour le développeur par des frameworks modernes, reste une ligne de démarcation critique pour la sécurité.
L'année 2025 a vu une explosion des attaques ciblant les architectures "Server-First". En tant que développeurs, nous devons redoubler de vigilance. L'aisance de développement ne doit jamais se faire au détriment de la sécurité par défaut.
Restez vigilants, et patcher vos prods !
Besoin d'aide ?
Minimalisme, dark mode, animations : séparons les vraies tendances design 2025 des effets de mode qui ne marchent que sur Dribbble.
Après avoir suivi une dizaine de boutiques en ligne suisses, voici les tendances qui fonctionnent réellement et celles qui restent du marketing.
Google AI Overviews, contenu généré par ChatGPT, recherche vocale : séparons le vrai du faux sur l'impact de l'IA sur le référencement en 2025.
