CVE-2025-55182 : RCE dans les composants serveur React
ID du bulletin : AWS-2025-030
Étendue :
AWS
Type de contenu :
important (nécessite une attention particulière)
Date de publication : 03/12/2025 à 19 h 45 (heure du Pacifique)
Description :
AWS a connaissance du problème CVE-2025-55182 récemment divulgué qui affecte le protocole React Server Flight dans les versions 19.0, 19.1 et 19.2 de React, ainsi que dans les versions Next.js 15.x, 16.x, Next.js 14.3.0-canary.77 et les versions ultérieures de canary lors de l’utilisation d’App Router. Ce problème peut permettre l’exécution de code à distance (RCE) non autorisée sur les serveurs d’application concernés.
AWS a connaissance du problème CVE-2025-66478, qui a été rejeté en tant que doublon du problème CVE-2025-55182.
Les clients utilisant des services AWS gérés ne sont pas concernés, et aucune action n’est requise. Les clients qui exécutent une version concernée de React ou de Next.js dans leur propre environnement doivent immédiatement effectuer la mise à jour vers les dernières versions corrigées :
- Les clients utilisant React 19.x avec les fonctions serveur et les composants RSC doivent effectuer la mise à jour vers les dernières versions corrigées 19.0.1, 19.1.2 et 19.2.1
- Les clients utilisant Next.js 15-16 avec App Router doivent mettre à jour vers une version corrigée
La version par défaut (1.24) du groupe de règles AWS WAF « AWSManagedRulesKnownBadInputsRuleSet » inclut désormais la règle mise à jour pour ce problème. À titre de mesure de protection provisoire, les clients peuvent déployer une règle AWS WAF personnalisée pour aider à détecter et prévenir les tentatives d’exploitation, le cas échéant. Consultez la section « Ajouter une règle AWS WAF personnalisée » ci-dessous.
AWS surveille activement les mises à jour concernant ce problème. Pour plus d’informations ou de l’aide, veuillez ouvrir une demande AWS Support.
Ajouter une règle AWS WAF (pare-feu d’applications Web) personnalisée
Pour renforcer votre défense contre ce problème, vous pouvez déployer une règle AWS WAF personnalisée. La règle AWS WAF suivante est actuellement définie sur BLOCK (Bloquer). Nous vous recommandons de tester cette règle personnalisée pour vous assurer qu’elle ne perturbe pas votre environnement.
.
{
"Name": "ReactJSRCE_CUSTOM",
"Priority": 99,
"Statement": {
"AndStatement": {
"Statements": [
{
"RegexMatchStatement": {
"RegexString": "POST",
"FieldToMatch": {
"Method": {}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
]
}
},
{
"RegexMatchStatement": {
"RegexString": "(?i)(?:next-action|rsc-action-id)",
"FieldToMatch": {
"Headers": {
"MatchPattern": {
"All": {}
},
"MatchScope": "KEY",
"OversizeHandling": "CONTINUE"
}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "NONE"
}
]
}
},
{
"RegexMatchStatement": {
"RegexString": "(?i)\"status\"\\s*:\\s*\"resolved_model\"",
"FieldToMatch": {
"Body": {
"OversizeHandling": "CONTINUE"
}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "URL_DECODE_UNI"
},
{
"Priority": 1,
"Type": "JS_DECODE"
},
{
"Priority": 2,
"Type": "UTF8_TO_UNICODE"
}
]
}
},
{
"RegexMatchStatement": {
"RegexString": "\\$\\@",
"FieldToMatch": {
"Body": {
"OversizeHandling": "CONTINUE"
}
},
"TextTransformations": [
{
"Priority": 0,
"Type": "URL_DECODE_UNI"
},
{
"Priority": 1,
"Type": "JS_DECODE"
},
{
"Priority": 2,
"Type": "UTF8_TO_UNICODE"
}
]
}
}
]
}
},
"Action": {
"Block": {}
},
"RuleLabels": [
{
"Name": "ReactJSRCE_Custom"
}
],
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "ReactJS_Custom"
}
}Veuillez envoyer un e‑mail à l’adresse aws-security@amazon.com pour toute question ou préoccupation en matière de sécurité.