Numéro de série : AV25-804
Date : 3 décembre 2025
Le 3 décembre 2025, React Foundation a publié un avis de sécurité visant à traiter d’une vulnérabilité critique dans les produits suivants :
- CVE-2025-55182 affectant :
- React-server-dom-webpack – versions 19.0.0, 19.1.0, 19.1.1 et 19.2.0;
- React-server-dom-parcel – versions 19.0.0, 19.1.0, 19.1.1 et 19.2.0;
- React-server-dom-turbopack – versions 19.0.0, 19.1.0, 19.1.1 et 19.2.0.
Les bibliothèques et frameworks regroupant des implémentations de react-server risquent d'être affectés. Exemples courants incluent :
- Next.js
- Plugin Vite RSC
- Plug-Parcel RSC
- Aperçu RSC du routeur React
- RedwoodSDK
- Waku
Aucune preuve d'exploitation n'a encore été enregistrée mais plusieurs preuves de concept (PoC) ont été publiées. En raison du score CVSS de 10,0 et de l'accessibilité réseau, cette vulnerabilité doit être considérée comme facilement exploitable, et les mesures d'atténuation doivent être appliquées le plus tôt possible.
Le Centre canadien pour la cybersécurité encourage les utilisateurs et les administrateurs à consulter le lien web fourni et à appliquer les mises à jour nécessaires.