Vulnérabilité critique dans React Server Components : des milliers de sites menacés
Une vulnérabilité critique dans les React Server Components est actuellement exploitée par plusieurs groupes de menaces, mettant en danger des milliers de sites web, y compris des plateformes de cryptomonnaies, avec un risque accru pour les utilisateurs de voir leurs actifs totalement drainés, rapporte TopTribune.
La faille, répertoriée sous le nom de CVE-2025-55182 et surnommée React2Shell, permet aux attaquants d’exécuter du code à distance sur les serveurs affectés sans nécessiter d’authentification. Les mainteneurs de React ont divulgué le problème le 3 décembre et lui ont attribué le score de gravité le plus élevé possible.
Peu après cette divulgation, le Google Threat Intelligence Group (GTIG) a observé une large exploitation de cette vulnérabilité par des criminels motivés financièrement et des groupes de piratage soupçonnés d’être soutenus par des États, ciblant des applications React et Next.js non corrigées dans des environnements cloud.
Fonctionnement de la vulnérabilité
Les React Server Components sont utilisés pour exécuter des parties d’une application web directement sur un serveur plutôt que dans le navigateur de l’utilisateur. La vulnérabilité découle de la manière dont React décode les requêtes entrantes à ces fonctions côté serveur.
En termes simples, les attaquants peuvent envoyer une requête web spécialement conçue qui trompe le serveur en lui ordonnant d’exécuter des commandes arbitraires, permettant ainsi à l’attaquant de prendre le contrôle du système.
Le bug affecte les versions de React allant de 19.0 à 19.2.0, y compris des paquets utilisés par des frameworks populaires tels que Next.js. Il suffit généralement d’avoir ces paquets vulnérables installés pour permettre l’exploitation.
Utilisation par les attaquants
Le GTIG a documenté plusieurs campagnes actives utilisant cette faille pour déployer des logiciels malveillants, des portes dérobées et des logiciels de minage de cryptomonnaies.
Certains attaquants ont commencé à exploiter la faille quelques jours après la divulgation pour installer des logiciels de minage de Monero. Ces attaques consomment discrètement les ressources serveur et de l’électricité, générant des profits pour les attaquants tout en dégradant les performances du système pour les victimes.
Les plateformes de cryptomonnaies reposent fortement sur des frameworks JavaScript modernes tels que React et Next.js, gérant souvent les interactions de portefeuille, la signature de transactions et les approbations de permis via du code front-end.
Si un site web est compromis, les attaquants peuvent injecter des scripts malveillants qui interceptent les interactions des portefeuilles ou redirigent les transactions vers leurs propres portefeuilles, même si le protocole blockchain sous-jacent reste sécurisé.
Cela rend les vulnérabilités front-end particulièrement dangereuses pour les utilisateurs qui signent des transactions via des portefeuilles de navigateur.
