React Server Components ont fait le buzz dans toutes les conférences l’an dernier. Rendu serveur fluide, hydratation sans config — tout le monde tablait sur une explosion en 2025. Mais patatras : le 3 décembre, l’équipe React balance la bombe. CVE-2025-55182. Exécution de code à distance sans authentification. CVSS 10,0. Score parfait. Prise de contrôle totale en vue.
Pas question de débordement de tampon exotique ici. Un attaquant forge une requête HTTP piégée vers n’importe quel endpoint React Server Function. Boum — faille de désérialisation qui exécute du code arbitraire sur votre serveur. Même si vous n’utilisez pas les Server Functions directement. Juste activé les React Server Components ? Vous êtes vulnérable.
Il existe une vulnérabilité d’exécution de code à distance sans authentification dans les React Server Components. Nous recommandons une mise à jour immédiate.
Direct de l’avis de l’équipe React. Pas de chichis.
Versions 19.0 à 19.2.0. Corrigées en 19.0.1, 19.1.2, 19.2.1. Un simple npm update. Mais l’onde de choc ? Énorme. Next.js — de 13.3.x aux canaries 16.x — patches spécifiques listés. Les API RSC instables de React Router. Waku, Parcel RSC, plugin Vite, RWSDK. Les hébergeurs ont déployé des parades temporaires (ne misez pas tout là-dessus).
Votre app Next.js a-t-elle une cible dans le dos ?
Next.js règne sur les déploiements React — plus de 40 % de parts de marché selon les sondages récents. Sur 13.3 ou plus tard ? npm install [email protected] pour les branches 13/14. 15.x ? Passez à 15.0.8 jusqu’à 15.5.10. Canaries ? Redescendez en stable. Les commandes sont interminables, mais en rater une, et c’est la cata.
Franchement. Les React Server Components (RSC) étaient le pari fou de Vercel — du React full-stack sans alourdir le client. L’adoption a explosé après React 19. Mais cette vulnérabilité crie l’immaturité. Attaques par désérialisation ? Du vu et revu. Pensez aux payloads ysoserial de Java d’il y a dix ans. La couche de traduction HTTP-vers-fonction de React ? Grande ouverte.
Et le clou — mon angle exclusif — rappelle le chaos Log4Shell en 2021. Cette lib de logging Java avait conquis le monde JVM en une nuit. Les parcels server DOM de React (webpack, turbopack) font pareil : options serveur opt-in intégrées dans tous les frameworks. Résultat ? Propagation silencieuse. Monorepos avec React Native ? Ne mettez à jour que les paquets server-dom. Mais la plupart passeront à côté.
Les frameworks se démènent. Le blog Next.js s’illumine de changelogs. Expo, Redwood, Waku — tous en train de patcher. Utilisateurs React Native en monorepos ? Mises à jour sélectives pour éviter les incompatibilités. Bordel organisé, mais contenu — pour l’instant.
Les dynamiques de marché bougent vite. Le hype RSC a propulsé Next.js vers des rumeurs de valorisation à 2 milliards pour Vercel. Ça ? Ça freine la machine. Les équipes qui lorgnent Remix ou Solid (jeu de mots !) hésiteront. Pourquoi risquer une RCE quand l’hydratation client-side fait l’affaire ? Attendez-vous à une chute de 10-15 % d’adoption RSC dans les sondages Q1 2026.
Pourquoi ne pas traîner sur ce patch ?
CVSS 10,0, ce n’est pas du bluff. Complexité d’attaque : faible. Privilèges : aucun. Portée : changée (du client vers serveur). Impact total sur confidentialité, intégrité, disponibilité. Endpoints publics ? C’est plié. Sites e-commerce sur Next.js ? Flux de paiement détournés. Dashboards SaaS ? Exfiltration de données à gogo.
L’équipe React a orchestré le rollout — détails après patch. Malin. Mais le com’ minimise l’impact sur l’écosystème. « Sans serveur, safe. » Bien sûr. Mais qui tourne du React pur client en prod ? Les bundlers comme Vite, Parcel intègrent des hooks RSC. Les peer deps traînent la vulnérabilité.
Les chemins de mise à jour varient à l’infini. Next.js canary sur 14.3.0 ? Repliez sur 14 stable. React Router ? `npm install react@latest react-server-dom-webpack@la
