La vulnérabilité React2Shell (CVE-2025-55182), divulguée le 3 décembre 2025 par Meta, représente un séisme en cybersécurité. Cette faille d’exécution de code à distance (RCE) non authentifiée, notée CVSS 10.0, affecte les React Server Components (RSC) versions 19.0.0 à 19.2.0, ainsi que les paquets react-server-dom-parcel, react-server-dom-turbopack et react-server-dom-webpack. Dès sa publication, des groupes de menaces chinois comme Earth Lamia et Jackpot Panda ont lancé des attaques massives, confirmant son exploitation active en wild. Ajoutée au catalogue KEV de CISA le 7 décembre, elle impose une remédiation urgente aux agences fédérales américaines.
Analyse Technique
React2Shell exploite une désérialisation non sécurisée dans le protocole Flight des RSC. Les attaquants envoient des payloads JSON malveillants via des requêtes HTTP vers les endpoints Server Function, sans authentification requise. Le serveur traite ces données, exécutant du code arbitraire côté serveur, menant à un RCE complet. Les configurations par défaut de frameworks comme Next.js sont vulnérables : une app standard créée avec create-next-app et déployée en production peut être compromise sans modification.
Les observateurs comme AWS rapportent des tentatives répétées : exécution de commandes Linux (whoami, id), création de fichiers (/tmp/pwned.txt) et lecture de /etc/passwd. Ces tests indiquent un raffinement actif des exploits, au-delà de scans automatisés. Plus de 30 organisations ont été impactées, avec des honeypots comme ceux de Rapid7 détectant des payloads malveillants évolués dès le 8 décembre. Pour les pentesteurs experts en Active Directory et evasion AV, cette faille s’intègre parfaitement dans des chaînes d’attaques : RCE initiale pour pivot latéral, dumping LSASS ou déploiement de malwares obfuscés.
| Aspect Technique | Détails |
|---|---|
| Type de faille | Désérialisation unsafe de payloads JSON |
| Score CVSS | 10.0 (Maximum) |
| Exploitation observée | Commandes shell Linux, fichiers persistants |
| Frameworks impactés | React 19.x, Next.js par défaut |
Impacts
Les conséquences sont dévastatrices pour les entreprises utilisant React/Next.js, omniprésents dans les apps web cloud. Plus de 30 organisations touchées incluent des secteurs critiques : finance, santé, télécoms. Les breaches entraînent vol de données GDPR-sensibles, déploiement ransomware ou disruptions opérationnelles. En Europe, les pays tech comme l’Allemagne et la France risquent des attaques ciblées amplifiant les pertes financières et réputationnelles.
Les APT chinois visent l’espionnage, aligné sur des intérêts stratégiques de Pékin, avec un passage rapide du PoC à l’exploitation live. Pour les red teamers, cela souligne la vitesse des menaces étatiques : zero-day weaponisée en heures.
Suggestions d’images pertinentes :
- Diagramme d’attaque React2Shell montrant payload JSON → désérialisation → RCE shell. Description : Illustration schématique d’une requête HTTP malveillante exploitant CVE-2025-55182 sur un serveur Next.js.
- Carte mondiale des attaques par Earth Lamia et Jackpot Panda. Description : Visualisation géographique des scans et exploits observés post-divulgation, avec focus Europe/USA.
Recommandations
Patch immédiat : upgradez vers React 19.0.1, 19.1.2 ou 19.2.1. Utilisez le scanner GitHub d’Assetnote pour identifier les déploiements vulnérables. Activez logging anormal (processus suspects, trafic outbound RSC), chasse aux menaces sur TTPs APT chinois. Pour les admins Kali/OffSec, intégrez des WAF bloquant payloads JSON suspects et segmentation réseau.
Conclusion
React2Shell illustre la fragilité des frameworks modernes face aux zero-days étatiques. Avec une exploitation ultra-rapide, elle impose une vigilance accrue : patching prioritaire, monitoring proactif et audits supply-chain. Les professionnels de la cybersécurité doivent anticiper ces chaînes d’attaques pour protéger les infrastructures critiques.
No responses yet