React2Shell (CVE-2025-55182) : faille critique permettant l'exécution de code à distance dans Server React

CVE-2025-55182 est une vulnérabilité critique permettant l'exécution de code à distance avant authentification dans React Server , avec un score CVSS de 10,0, soit le niveau de gravité le plus élevé possible. Dans le cadre du programme de boursesOPSWAT , nos boursiers ont mené une analyse technique approfondie de cette vulnérabilité, en examinant sa cause profonde dans le protocole de désérialisation React Flight, la chaîne d'exploitation complète et son impact généralisé sur l'écosystème web moderne. Cet article présente nos conclusions ainsi que des conseils concrets à l'intention des défenseurs.

React est devenu l'une des bibliothèques front-end les plus utilisées au monde, servant de base à une part importante des mobile web et mobile modernes. Les enquêtes menées auprès des développeurs par Stack Overflow classent régulièrement React parmi les meilleurs frameworks web, avec un taux d'adoption dépassant 40 % des développeurs professionnels à l'échelle mondiale. Parallèlement à cette croissance, l'équipe React a introduit Server React Server (RSC) comme fonctionnalité centrale de React 19 — un changement de paradigme qui déplace la logique de rendu du client vers le serveur, permettant ainsi des performances optimisées et une intégration plus étroite entre le code côté serveur et le code côté client.

Cependant, cette évolution architecturale a introduit une nouvelle surface d'attaque critique. Le 29 novembre 2025, le chercheur en sécurité Lachlan Davidson a signalé une vulnérabilité dans la logique de désérialisation côté serveur de React au programme Bug Bounty de Meta. Rendu public le 3 décembre 2025 sous le numéro CVE-2025-55182, ce défaut permet l'exécution de code à distance sans authentification via une simple requête HTTP spécialement conçue. Classée CWE-502 (désérialisation de données non fiables), cette vulnérabilité ne nécessite aucune authentification, aucune interaction de l'utilisateur et aucune configuration particulière de l'application : un déploiement par défaut de type « create-next-app » destiné à la production est immédiatement exploitable.

React est une bibliothèque JavaScript destinée à la création d'interfaces utilisateur, maintenue par Meta et une vaste communauté open source. Server React (RSC), introduits avec React 19, marquent un changement fondamental dans la manière dont les applications React gèrent le rendu. Contrairement aux composants client traditionnels qui s'exécutent entièrement dans le navigateur, les composants serveur s'exécutent sur le serveur, produisant une représentation sérialisée de l'interface utilisateur qui est transmise au client. Cette conception réduit la quantité de code JavaScript envoyée au navigateur, améliore les métriques de temps de réponse et permet un accès direct aux ressources côté serveur telles que les bases de données et les systèmes de fichiers.

When a client invokes a Server Function, the browser sends an HTTP POST request with a multipart/form-data body. Each form field contains a numbered “chunk” of serialized data. The Flight protocol uses special string prefixes to encode data types: $<id> references the resolved value of another chunk, $@<id> references the raw chunk object itself, $W<id> represents a Set, $K<id> represents FormData, and $B<id> triggers the blob handler.

Prenons une Server définie comme suit :

La requête HTTP correspondante contient plusieurs champs de formulaire, chacun composé d'une clé et d'une valeur : le champ 0 contient le tableau d'arguments avec des références telles que « $W1 » et « $K2 », tandis que les champs 1 et 2_* contiennent les données auxquelles ces références renvoient. Le serveur traite chaque champ au fur et à mesure de son arrivée, en stockant les résultats intermédiaires dans des objets appelés « chunks ».

Un chunk est un objet « thenable » doté de quatre propriétés clés : status (l'état de résolution), value (les données stockées), reason (les informations d'erreur) et _response (une référence vers l'objet de réponse parent). Lorsque le serveur rencontre un chunk en attente, la méthode .then() du chunk est invoquée. Si le statut du chunk est INITIALIZED, la fonction de rappel resolve reçoit chunk.value. Si le statut est PENDING, BLOCKED ou CYCLIC, les fonctions de rappel sont mises en file d'attente pour une exécution ultérieure.

Ce qui suit décrit comment Next.js traite une requête Server entrante dans des conditions normales, depuis la couche HTTP jusqu'au moteur de désérialisation React Flight.

Lorsqu'une Server est appelée, la requête est transmise à la fonction `handleAction`. Cette fonction valide les métadonnées, vérifie les en-têtes et les jetons CSRF, et s'assure que la requête correspond à une action de récupération valide. Un flux appelé busboyStream est ensuite créé pour analyser le corps du formulaire multipart. La fonction decodeReplyFromBusboy lie des émetteurs d'événements à ce flux, déclenchant les fonctions de gestion de désérialisation ServerReact à mesure que les données brutes sont reçues. La valeur de retour de decodeReplyFromBusboy est chunk_0; l'opérateur await la résout et transmet sa valeur assemblée à la Server invoquée.

La fonction getChunk renvoie le bloc correspondant à un identifiant donné. Si ce bloc n'existe pas encore, elle crée soit un ResolvedModelChunk (si des données sont déjà présentes dans response._formData), soit un PendingChunk (si aucune donnée n'est encore arrivée pour cet identifiant).

Lorsque la fonction `decodeReplyFromBusboy` renvoie `chunk_0`, le bloc se trouve toujours à l'état PENDING. L'opérateur `await` appelle `chunk_0.then()` et stocke temporairement les callbacks `resolve` et `reject` respectivement dans `chunk_0.value` et `chunk_0.reason`. Ces callbacks sont réactivés par la fonction `wakeChunk` une fois la résolution de la référence terminée.

Lorsque busboyStream reçoit un champ de données brutes complet, il déclenche l'émetteur d'événements « field », appelle la fonction resolveField et lance la désérialisation, qui consiste à convertir les données brutes du formulaire en objets JavaScript entièrement construits. Les fonctions suivantes régissent ce processus.

resolveField(response, key, value)

La clé et la valeur sont ajoutées à response._formData. La fonction récupère ensuite le bloc correspondant à l'ID correspondant à la clé. Si ce bloc existe déjà, la fonction resolveModelChunk est appelée pour le reconstruire. Cette résolution différée est nécessaire car une valeur peut contenir des références à des champs dont les données brutes ne sont pas encore arrivées ; dans ce cas, le Server React Server un PendingChunk avec des callbacks resolve et reject personnalisés pour traiter ces références ultérieurement.

resolveModelChunk(chunk, valeur, id)

La fonction `resolveModelChunk` crée un objet `ResolvedModelChunk` avec l'état `RESOLVED_MODEL` et y injecte les données brutes. Elle reconstitue ensuite le bloc via `initializeModelChunk`, puis appelle `wakeChunk` pour déclencher les callbacks de résolution et de rejet mis en file d'attente, achevant ainsi la résolution de l'objet ou de la référence.

initialiserLeBlocDeModèle(bloc)

La fonction `initializeModelChunk` fait passer l'état du chunk à CYCLIC — indiquant que la résolution des références est en cours — et lance la désérialisation. Elle construit un objet JavaScript brut à partir de `chunk.value` à l'aide de `JSON.parse`, puis transmet cet objet à la fonction `reviveModel`.

reviveModel(réponse, objetParent, cléParent, valeur, référence)

La fonction reviveModel traite de manière récursive chaque composant de l'objet analysé. Lorsqu'elle rencontre une valeur de type chaîne, elle appelle la fonction parseModelString pour la traiter.

parseModelString(response, obj, key, value, reference)

La fonction `parseModelString` traite les chaînes en fonction de leur préfixe afin de gérer différents types d'encodage. Pour les références commençant par `$`, la fonction `getOutlinedModel` est appelée afin de résoudre la référence inter-blocs.

getOutlinedModel(response, reference, parentObject, key, map)

CVE-2025-55182 originates from insufficient input validation in the getOutlinedModel() function within React’s server-side Flight reply handler (ReactFlightReplyServer.js). When a chunk reference includes a property path - such as $<id>:<prop1>:<prop2> - the function resolves it by traversing the specified properties on the target chunk object, computing the result as chunk[prop1][prop2].

La faille critique réside dans le fait que ces noms de propriétés ne sont jamais validés. Le serveur ne vérifie pas si les propriétés demandées sont des propriétés propres à l'objet ou des propriétés de prototype héritées. Un attaquant peut donc inclure __proto__ dans le chemin d'accès à la propriété pour parcourir la chaîne de prototypes et atteindre des méthodes internes qui ne devraient jamais être accessibles à partir d'une entrée contrôlée par l'utilisateur. Par exemple, la référence $1:__proto__:then se résout en Chunk.prototype.then, une fonction que l'attaquant peut alors invoquer avec des arguments contrôlés.

La chaîne d'exploitation exploite deux chemins de code distincts dans la logique de désérialisation Flight de React.

Le premier est Chunk.prototype.then, qui définit le comportement des chunks en tant que thenables. Lorsque l'opérateur await est appliqué à un chunk à l'état INITIALIZED, la méthode resolve(chunk.value) est appelée. Si chunk.value est lui-même un thenable (un objet doté d'une méthode .then() ), l'opérateur await appelle de manière récursive chunk.value.then(). C'est grâce à cette résolution récursive qu'un attaquant peut rediriger l'exécution vers une fonction arbitraire.

Le deuxième est le gestionnaire de préfixe $B (blob) dans la fonction parseModelString() :

Dans le cas $B, la fonction appelle response._formData.get(response._prefix + id). Les propriétés _formData.get et _prefix appartiennent toutes deux à l'objet _response stocké dans le chunk. En manipulant ces propriétés via la traversée de la chaîne de prototypes, un attaquant peut rediriger cet appel afin d'invoquer le constructeur global Function en lui passant un code arbitraire en argument.

Through prototype chain traversal, an attacker reaches the global Function constructor via the path <any_object>.constructor.constructor. Because Chunk.prototype.then is a function, the path $1:constructor:constructor resolves to the global Function constructor, which accepts a string and returns a callable function containing that code.

Afin de démontrer l'impact potentiel dans la réalité, nos chercheurs ont mis au point une charge utile de validation de principe conforme aux analyses documentées de manière indépendante par plusieurs équipes de recherche en sécurité. L'exploitation se déroule en deux étapes :

Étape 1 - Créer le faux bloc :

The object delivered in field 0 acts as a fake chunk. Its then property is set to Chunk.prototype.then via the reference path $1:__proto__:then, allowing the Flight deserialization engine to invoke prototype-level behavior on this attacker-constructed object. The _response._formData.get property is pointed at the global Function constructor via $1:constructor:constructor, and _response._prefix is set to the malicious JavaScript code. The value field contains the string {"then": "$B0"}, instructing the blob handler to invoke itself on the same chunk when resolved. The status field is set to resolved_model so that initializeModelChunk is triggered when .then() is called, causing value to be parsed and the blob handler to fire.

Comme le champ 1 n'a pas encore été reçu à ce stade, le Server React crée Server des callbacks « resolve » et « reject » pour gérer la référence en attente.

Étape 2 - Résolution du déclencheur :

Une fois que le champ 1 — contenant « $@0 », une référence brute au bloc 0 — est transmis, le bloc en attente est résolu et pointe directement vers le faux bloc. Cela déclenche la fonction `wakeChunk`, qui traite les callbacks mis en file d'attente et lance la traversée de la chaîne de prototypes lors de la résolution de la référence. Une fois le faux chunk entièrement résolu, wakeChunk est à nouveau appelé. Comme le callback de résolution du faux chunk est la fonction de résolution implicite de Node.js, il invoque la méthode .then() du chunk et résout sa valeur, ce qui aboutit à la construction et à l'exécution du code malveillant injecté via le constructeur Function.

L'exploitation complète ne nécessite qu'une seule requête HTTP :

Nos chercheurs ont reproduit cette vulnérabilité dans un environnement de laboratoire contrôlé à l'aide d'une application Next.js standard générée avec create-next-app et configurée pour la production, sans aucune modification de la configuration par défaut. Cette reproduction a confirmé que la charge utile d'exploitation en une seule requête décrite ci-dessus permettait d'exécuter du code à distance de manière fiable.

L'équipe React a publié des correctifs le 3 décembre 2025, le jour même où la vulnérabilité a été rendue publique. Les versions corrigées sont disponibles sous les numéros React 19.0.1, 19.1.2 et 19.2.1. Le correctif ajoute une validation stricte des propriétés dans getOutlinedModel() et reviveModel(), bloquant explicitement la résolution des propriétés de prototype héritées — notamment __proto__, constructor et prototype — à partir des chemins de référence contrôlés par l'utilisateur dans les charges utiles Flight.

Les organisations devraient prendre les mesures suivantes sans délai :

1. Mettez à jour les paquets React vers une version corrigée (19.0.1, 19.1.2 ou 19.2.1) en exécutant la commande npm install react-server-dom-webpack@latest, react-server-dom-parcel@latest ou react-server-dom-turbopack@latest, selon le cas.
2. Mettre à jour les dépendances des frameworks — Next.js, React Router, Waku et d'autres frameworks concernés ont publié les correctifs correspondants. Consultez l'avis de l'équipe React pour connaître les procédures de mise à jour spécifiques à chaque version.
3. Ne vous fiez pas uniquement aux mesures prises par les hébergeurs: bien que des fournisseurs tels que Vercel aient déployé des règles WAF temporaires après la divulgation de la faille, il s'agit là de mesures provisoires qui ne remplacent pas l'application des correctifs aux paquets sous-jacents.
4. Vérifiez les journaux du serveur à la recherche de requêtes POST comportant des en-têtes Next-Action et des corps de type multipart/form-data contenant les motifs $@ ou __proto__, et surveillez les journaux de l'application pour détecter d'éventuels appels inattendus à child_process ou execSync.

OPSWAT , une technologie propriétaire intégrée à la plateforme MetaDefender™, offre la visibilité et le contrôle nécessaires pour se prémunir contre des vulnérabilités telles que CVE-2025-55182. Comme cette faille réside dans des paquets npm open source (react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack), les organisations doivent d'abord dresser un inventaire complet des emplacements où ces composants sont déployés au sein de leur infrastructure avant de pouvoir mettre en place une correction efficace.