CVE-2025-55183 et CVE-2025-55184 : Nouvelles vulnérabilités React RSC exposant les applications aux attaques par déni de service et fuites de code source
Une vulnérabilité récemment divulguée, de sévérité maximale, dans les React Server Components (RSC), connue sous le nom React2Shell (CVE-2025-55182), a rapidement évolué en une menace sérieuse. Plusieurs groupes soutenus par l’État, alignés sur la Chine, ont été observés exploitant la faille en cours d’utilisation pour atteindre RCE des déploiements React vulnérables. En réponse à l’exploitation du CVE-2025-55182, l’équipe React a également publié des correctifs supplémentaires pour les nouveaux problèmes RSC identifiés qui pourraient conduire à des attaques par déni de service (DoS) ou à des divulgations de code source, suivis sous les CVE-2025-55183 et CVE-2025-55184, ainsi que le CVE-2025-67779, qui traite d’une correction incomplète pour le CVE-2025-55184 avec le même impact sur la sécurité.
L’exploitation de React2Shell a pris un rythme rapide, avec des attaques en cours qui vont au-delà des analyses opportunistes. Par exemple, peu de temps après la divulgation du CVE-2025-55182, des chercheurs ont identifié EtherRAT, un implant avancé déployé via React2Shell. Ses capacités reflètent les opérations « Contagious Interview » de la RPDC, suggérant soit un pivot tactique par des acteurs liés à la Corée du Nord, soit le partage d’outils sophistiqués parmi des groupes parrainés par l’État. Découvrez plus de détails sur l’attaque ainsi que des conseils de mitigation et de réponse, et obtenez des détections pertinentes, des simulations et des renseignements complets sur la menace en utilisant les menaces actives de SOC Prime.
Avec le déploiement des attaques React2Shell, les défenseurs ont découvert un ensemble de nouvelles vulnérabilités RSC mentionnées ci-dessus, qui nécessitent une ultra-réactivité des équipes de sécurité pour minimiser les risques des tentatives d’exploitation. Inscrivez-vous à la plateforme indépendante des fournisseurs de SOC Prime pour une défense en temps réel afin d’accéder au plus grand ensemble de données de renseignements sur la détection au monde, d’adopter un pipeline complet de la détection à la simulation pour accélérer les flux de travail de sécurité, et de profiter de l’IA et de l’expertise en cybersécurité pour faire passer votre SOC au niveau supérieur. Appuyez sur Explorer les détections pour approfondir l’ensemble complet du contenu SOC traitant les vulnérabilités actuelles et existantes, filtrées par le tag pertinent « CVE ».
Le contenu de détection de cette collection peut être instantanément converti en plusieurs formats SIEM, EDR, et Data Lake et est aligné avec le dernier MITRE ATT&CK® v18.1. Découvrez l’intelligence de détection native à l’IA et le contexte de menace complet pour réduire la fatigue des analystes et augmenter l’efficacité opérationnelle.
Pour les équipes de sécurité cherchant des moyens d’accélérer les flux de travail d’ingénierie de détection, SOC Prime organise Uncoder AI. Convertissez sans effort les IOCs en requêtes personnalisées optimisées pour la performance prêtes à être exécutées dans votre environnement SIEM ou EDR, créez une logique de détection directement à partir des rapports de menace de manière automatisée, visualisez les flux d’attaque, validez et peaufinez la logique de détection pour plus de précision, et traduisez des règles dans divers formats de langues en quelques secondes.
Analyse CVE-2025-55183 et CVE-2025-55184
Suite à la militarisation de React2Shell, les chercheurs ont découvert des vulnérabilités supplémentaires lors de l’analyse de l’efficacité des correctifs initiaux. Ces problèmes nouvellement identifiés ne permettent pas de RCE, et les correctifs existants bloquent avec succès ce vecteur d’attaque, selon l’équipe React. Cependant, ils introduisent de nouveaux risques : deux failles de déni de service (CVE-2025-55184 et CVE-2025-67779, avec un score CVSS de 7.5) et un problème de divulgation de code source suivi sous CVE-2025-55183, avec un score CVSS de 5.3.
CVE-2025-55184 découle d’une désérialisation non sécurisée dans le traitement des requêtes de fonction serveur, qui peut entraîner une boucle infinie et effectivement bloquer le serveur, tandis que CVE-2025-55183 permet à des requêtes spécialement conçues de divulguer le code source de la fonction serveur dans des conditions spécifiques.
Tous les problèmes affectent les mêmes packages et versions RSC que CVE-2025-55182, avec des correctifs disponibles dans les versions 19.0.3, 19.1.4, et 19.2.3. L’ équipe React note que les divulgations ultérieures sont une issue courante après des vulnérabilités majeures, reflétant un examen plus approfondi des chemins de code adjacents plutôt qu’une remédiation échouée. Comme mesures de mitigation hautement recommandées pour CVE-2025-55183 et CVE-2025-55184, le fournisseur conseille fortement aux utilisateurs de mettre à jour rapidement, étant donné l’activité continue d’exploitation.
L’exploitation croissante de React2Shell, suivie de près par les nouvelles vulnérabilités RSC découvertes, souligne la nécessité pour les défenseurs de rester très vigilants et de renforcer continuellement leur posture de sécurité pour réduire l’exposition à des menaces similaires. En tirant parti de la Plateforme Intelligente de Détection Native à l’AI de SOC Prime, les organisations peuvent renforcer la défense en temps réel à grande échelle tout en augmentant la productivité de leur équipe d’ingénierie, accélérer les flux de travail en adoptant le cycle de vie complet de la détection à la simulation, et opérationnaliser l’intelligence des menaces plus rapidement à travers les outils, les équipes, et les environnements.
