Divulgation de vulnérabilités de DoS et d’exposition du code source dans React Server Components

• De nouvelles vulnérabilités de déni de service (DoS) et d’exposition du code source ont été découvertes et rendues publiques dans React Server Components
• Ces vulnérabilités ne permettent pas d’exécution de code à distance (RCE), mais elles peuvent entraîner un arrêt du serveur ou une fuite de code
• Les packages concernés sont react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack, en versions 19.0.0~19.2.2, et les versions corrigées sont 19.0.3, 19.1.4, 19.2.3
• La vulnérabilité DoS (CVE-2025-55184, CVE-2025-67779) peut provoquer une boucle infinie via une requête HTTP malveillante, et la vulnérabilité d’exposition du code source (CVE-2025-55183) peut renvoyer une partie du code d’une fonction serveur
• L’équipe React recommande une mise à niveau immédiate et explique que cette divulgation supplémentaire correspond à un processus normal du cycle de réponse sécurité

Aperçu des vulnérabilités nouvellement divulguées

• Les chercheurs en sécurité ont découvert deux vulnérabilités supplémentaires pendant la validation du correctif de la vulnérabilité critique publiée la semaine dernière
• Les nouvelles vulnérabilités ne permettent pas l’exécution de code à distance (RCE), et le patch React2Shell reste valable
• Les vulnérabilités nouvellement divulguées sont les suivantes
  • Déni de service (DoS) — CVE-2025-55184, CVE-2025-67779 (CVSS 7.5, gravité élevée)
  • Divulgation de code source — CVE-2025-55183 (CVSS 5.3, gravité moyenne)
• L’équipe React recommande une mise à niveau immédiate

Incomplétude du correctif précédent

• Les correctifs déployés la semaine dernière dans les versions 19.0.2, 19.1.3, 19.2.2 étaient incomplets, ce qui nécessite une mise à jour supplémentaire
• La correction complète est incluse dans les versions 19.0.3, 19.1.4, 19.2.3
• Il faut suivre les instructions de mise à jour du message précédent
• Des informations supplémentaires seront publiées une fois le déploiement du correctif terminé

Packages et versions affectés

• Les vulnérabilités sont présentes dans les mêmes packages et versions que CVE-2025-55182
• Versions affectées : 19.0.0~19.2.2
• Packages affectés :
  • react-server-dom-webpack
  • react-server-dom-parcel
  • react-server-dom-turbopack
• Versions corrigées : 19.0.3, 19.1.4, 19.2.3
• Les applications qui n’utilisent pas de serveur ou ne prennent pas en charge React Server Components ne sont pas touchées

Schéma classique des divulgations de vulnérabilités ultérieures

• Après la divulgation d’une CVE critique, une analyse supplémentaire des chemins de code associés révèle souvent d’autres vulnérabilités
• Des exemples de CVE supplémentaires signalés après Log4Shell sont mentionnés
• Ce type de divulgation supplémentaire signifie que la réponse de sécurité fonctionne normalement

Frameworks et bundlers affectés

• Les frameworks et bundlers suivants incluent ou dépendent du package React vulnérable :
  • next
  • react-router
  • waku
  • @parcel/rsc
  • @vitejs/plugin-rsc
  • rwsdk
• Il faut suivre les instructions de mise à jour du message précédent

Mesures temporaires des hébergeurs

• Plusieurs fournisseurs d’hébergement et équipes associées ont mis en place des mesures de mitigation temporaires
• Néanmoins, il ne faut pas se reposer sur ces mesures et une mise à jour immédiate est nécessaire

Consignes liées à React Native

• Les utilisateurs de React Native seul n’ont pas besoin de mesures supplémentaires
• En environnement monorepo, seuls les packages suivants doivent être mis à jour :
  • react-server-dom-webpack
  • react-server-dom-parcel
  • react-server-dom-turbopack
• Les packages react et react-dom n’ont pas besoin d’être mis à jour
• Les détails associés sont référencés dans l’issue React Native sur GitHub

Haute gravité : déni de service (DoS)

• CVE-2025-55184, CVE-2025-67779, CVSS 7.5
• Si une requête HTTP malveillante est envoyée vers le point de terminaison d’une fonction serveur React, une boucle infinie peut se produire lors de la désérialisation
• Le processus serveur peut être arrêté et monopoliser excessivement le CPU
• Même sans implémenter directement un point de terminaison de fonction serveur, une application prenant en charge React Server Components peut être vulnérable
• Le patch publié aujourd’hui corrige ce problème en empêchant les boucles infinies
• La correction initiale était incomplète, puis la vulnérabilité additionnelle CVE-2025-67779 est venue la combler

Gravité moyenne : exposition du code source

• CVE-2025-55183, CVSS 5.3
• Une requête HTTP malveillante peut renvoyer une partie du code source d’une fonction serveur
• Cela peut se produire quand des arguments de type chaîne sont explicitement ou implicitement exposés par la fonction serveur
• Dans le code d’exemple, des valeurs secrètes codées en dur telles que des clés de connexion de base de données peuvent être exposées
• Le patch corrige cela en empêchant la transformation en chaîne du code source de la fonction serveur
• L’exposition est limitée au code interne de la fonction serveur, et les secrets d’exécution (process.env.SECRET, etc.) ne sont pas impactés
• La validation doit être vérifiée sur la base du bundle de production

Chronologie

• 3 décembre : Andrew MacPherson signale une fuite de code source à Vercel et au programme Meta Bug Bounty
• 4 décembre : RyotaK signale une vulnérabilité DoS
• 6 décembre : L’équipe React constate les deux problèmes et lance l’enquête
• 7 décembre : Rédaction du patch initial et élaboration du plan de validation
• 8 décembre : Notification aux hébergeurs et aux projets open source
• 10 décembre : Mise en place des mesures de mitigation et validation du patch achevée
• 11 décembre : Shinsaku Nomura signale un DoS supplémentaire, publication des CVE-2025-55183, 55184 et 67779

Signalements

• Andrew MacPherson (AndrewMohawk) — signalement de l’exposition de code source
• RyotaK (GMO Flatt Security Inc) et Shinsaku Nomura (Bitforest Co., Ltd.) — signalements de vulnérabilités de déni de service