La protection proactive de Fastly contre React2Shell, les vulnérabilités critiques React RCE CVE-2025-55182 et CVE-2025-66478
Responsable produit, Fastly
Mise à jour du 11 décembre :
Dans la foulée des vulnérabilités CVE de criticité élevée React2Shell de la semaine dernière, deux (désormais trois) nouvelles vulnérabilités CVE exploitant des composants similaires de Next.js et React viennent d’être annoncées. Les dernières versions augmentent les enjeux, forçant les entreprises à se lancer dans une course contre la montre pour en évaluer les conséquences, et soulignent la nécessité absolue pour les entreprises d’identifier l’exposition et de corriger ces frameworks sous-jacents. En savoir plus ici.
Mise à jour du 9 décembre :
React2Shell continue d’affecter les entreprises dans le monde entier et nous avons de nouvelles informations sur les industries et les régions les plus ciblées. Pour en savoir plus, cliquez ici.
Mise à jour du 5 décembre :
Fastly découvre des preuves irréfutables suggérant que les hackers recherchent sans relâche des applications vulnérables dans le but d’exploiter React2Shell (vulnérabilités CVE 2025-55182 et 2025-66478). Après l’annonce publique de la preuve de concept vers 21 h 04 UTC hier (4 décembre), Fastly a détecté ce qui est apparu, à ce moment-là, comme une forte escalade de l’activité d’attaque.
Au cours des 24 heures qui ont suivi, le nombre de requêtes ayant déclenché nos signaux NGWAF React2Shell a explosé de 2 775 %.
L'équipe de recherche dans le domaine de la sécurité de Fastly a vérifié que certains PoC publics permettent aux hackers d'exécuter des commandes, d'exfiltrer des données et d'obtenir un accès en écriture sur les serveurs vulnérables en une seule étape. Il est urgent de prendre immédiatement des mesures pour corriger cette faille.
Pour les clients Fastly
Notre objectif est de vous offrir un moment de répit pour effectuer les correctifs suivants :
Tout d'abord, nous avons élargi notre correctif virtuel pour CVE-2025-55182 afin de détecter les activités d'analyse et de sondage et toute tentative de contournement de nos protections NGWAF.
Deuxièmement, le signal « Attack Tooling » intégré au WAF nouvelle génération détecte les scanners apparus au cours des dernières 24 heures pour rechercher les applications vulnérables. Nous vous recommandons d'examiner toute requête ayant déclenché ce signal, car cela pourrait révéler une activité React2Shell.
Enfin, le Bot Management de Fastly a signalé l'outil d'attaque React2Shell comme un « bot suspect », offrant ainsi aux organisations un niveau de défense supplémentaire. Nous vous suggérons d'intégrer ce signal dans vos règles si ce n'est pas déjà fait.
La meilleure solution disponible à l'heure actuelle consiste à mettre à jour vos applications vers les versions corrigées applicables. Nous en sommes arrivés au point où la question n'est plus « si », ni même « quand », mais « à quelle fréquence » ? Nous continuerons à surveiller l'activité mondiale des attaques, à investir dans des mesures d'atténuation supplémentaires pour nos clients et à partager nos informations avec la communauté publique.
Mise à jour du 4 décembre :
Depuis la publication de cet article, les équipes de Fastly surveillent attentivement les tentatives d'exploitation de React2Shell (CVEs 2025-55182 et 2025-66478). Vers 21 h 04 GMT le 4 décembre, ce qui semble être une preuve de concept (PoC) viable a été rendue public. Alors que nous n'avons constaté que peu ou pas de requêtes déclenchant nos signaux NGWAF pour ces vulnérabilités jusqu'à environ 20 h GMT, les signaux déclenchés ont connu une forte augmentation après la diffusion de la PoC. Le graphique ci-dessous représente les données enregistrées entre 11 h GMT et 23 h GMT le 4 décembre 2025 ; nous continuerons à partager les informations pertinentes à mesure que la situation évoluera.
Que devriez-vous faire ?
Fastly recommande vivement de prioriser l'identification et la mise à jour de vos applications React et Next.js sans délai. Pour les clients actuels de Next-Gen WAF, veuillez vous assurer d'activer le correctif virtuel associé aux deux CVE afin d'assurer une protection jusqu'à ce que vos systèmes sous-jacents soient entièrement mis à jour. Si vous n'avez ni appliqué de correctif ni mis en place de protection proactive, vous devez considérer que vos systèmes vulnérables sont potentiellement compromis.
Nous continuerons à surveiller notre réseau global pour l'activité React2Shell et à mettre à jour la communauté à mesure que la situation évolue.
Bien que nous entendions souvent parler de réseaux malveillants de cybercriminels qui font un usage abusif d'Internet, nous devrions saluer le réseau de fournisseurs passionnés qui s'unissent pour restaurer Internet en période de crise. La nouvelle vulnérabilité React Remote Code Execution (RCE) dévoilée aujourd'hui illustre parfaitement la puissance de ce partenariat.
Le soir du 1er décembre, Vercel a pris contact avec nous et nous a informés de la divulgation prochaine des vulnérabilités CVE-2025-55182 et CVE-2025-66478*, désormais désignées conjointement sous le nom de React2Shell.
Après avoir pris connaissance de cette vulnérabilité, Fastly a immédiatement lancé une enquête sur nos systèmes internes et a travaillé à développer du contenu de détection afin d'offrir un support rapide et proactif à nos clients.
Nous avons également contribué à mettre en relation d'autres partenaires technologiques essentiels directement avec Vercel afin de garantir une préparation intersectorielle optimale avant l'annonce. Nous sommes conscients que pour nos clients, l'enjeu ne se limite pas à la réponse de Fastly. Il s'agit également d'être un partenaire fiable pour les autres acteurs de ce domaine et de contribuer à diffuser les informations appropriées aux bons endroits.
Nous sommes reconnaissants de la collaboration étroite avec Vercel, ainsi qu'avec d'autres partenaires de l'écosystème logiciel qui ont contribué à cet effort urgent, afin de protéger autant d'organisations que possible.
Dans cet article, nous vous fournirons des informations détaillées sur cette vulnérabilité, nous décrirons l'impact que React2Shell pourrait avoir sur votre entreprise et nous vous proposerons des conseils pour atténuer les tentatives d'exploitation.
Ce que vous devez savoir maintenant
Les vulnérabilités React CVE-2025-55182 et Next.js CVE-2025-66478 affectent toute application utilisant React 19 avec React Server Components (RSC), qui, heureusement, représentent une part relativement faible de l'ensemble des applications JavaScript existantes.
Cependant, nous nous attendons à ce que les hackers exploitent rapidement cette vulnérabilité ; si vous êtes vulnérable, il est probable que vous soyez bientôt confronté à une vague d'attaques.
D'après notre enquête actuelle, l'infrastructure de la plateforme centrale de Fastly n'est pas vulnérable à React2Shell. Nous poursuivrons cette analyse à mesure que nous en apprendrons davantage.
Nous avons publié un correctif virtuel pour React2Shell dans notre NGWAF afin d'aider nos clients à atténuer les tentatives d'exploitation. Vous pouvez obtenir plus d'informations à ce sujet sur notre page d'état et dans la section FSA de notre portail client.
Comment bénéficier d'une protection active dès maintenant
Afin de réduire les risques pour vos applications protégées par NGWAF, nous vous recommandons d'appliquer immédiatement le correctif virtuel pour CVE-2025-55182 et CVE-2025-66478** à tous les services en périphérie et sur site qui pourraient être vulnérables. Le contenu de détection de cette règle modélisée spécifique aux CVE recherche des modèles spécifiques dans les en-têtes de requête et les corps POST qui pourraient indiquer des tentatives d'exploitation potentielles des CVE React2Shell.
L'équipe de recherche dans le domaine de la sécurité de Fastly a développé et testé ce contenu en étroite collaboration avec Vercel. Nous sommes reconnaissants de ce partenariat qui garantit à nos clients communs une protection dès la divulgation. Notre équipe mettra à jour le correctif virtuel de manière continue, selon les besoins. Toute personne ayant choisi de participer recevra automatiquement les prochaines mises à jour.
Fastly continuera à explorer de nouveaux moyens de protection à proposer à ses clients afin de détecter et de bloquer le trafic malveillant lié à React2Shell. Nous continuerons à développer et à affiner le contenu pertinent du NGWAF à mesure que nous observerons des tentatives d’exploitation.
Une analyse approfondie de React2Shell
Les vulnérabilités React CVE-2025-55182 et Next.js CVE-2025-66478 reflètent un bug de pollution de prototype, mais pas un bug classique. La plupart des bugs de pollution de prototype nécessitent un autre bug pour être utiles au hacker, comme l'exécution de code arbitraire ou l'accès à des données confidentielles.
Cette vulnérabilité React RCE est atypique pour un bug de pollution de prototype, car le hacker peut obtenir ce qu'il souhaite en une seule étape. D'après notre interprétation, cette étape est efficace sur tout ce qui utilise React 19 avec RSC.
Les hackers peuvent effectuer une requête unique pour forcer votre serveur React à exécuter du code JavaScript de leur choix. Ce bug signifie que les hackers n'ont pas besoin d'effectuer de reconnaissance sur votre application, ni de s'authentifier avec succès. Il leur suffit de savoir que votre application utilise RSC et d'envoyer une requête HTTP avec la série précise d'instructions Flight sérialisées pour déclencher le bug.
Étant donné que React2Shell ne nécessite pas d'autre vulnérabilité pour permettre aux hackers d'exécuter du code à distance, nous estimons qu'il leur sera facile de l'exploiter. En termes simples, ce bug permet aux hackers d'ajouter et d'exécuter facilement du code JavaScript arbitraire sur un serveur vulnérable. En termes plus techniques, ce bug exploite la bibliothèque Flight, et plus particulièrement son code de désérialisation, pour appeler le générateur de fonctions JavaScript lorsque le serveur décode l'appel de fonction React Server entrant du hacker.
Si vous utilisez React 19, nous vous recommandons vivement d'appliquer immédiatement le correctif et de mettre en place les protections actives décrites ci-dessous.
Recommandations de Fastly concernant React2Shell : CVE-2025-55182 et CVE-2025-66478
Après avoir pris connaissance de cette vulnérabilité, nous avons rapidement examiné l'infrastructure de notre plateforme principale et n'avons trouvé aucune preuve indiquant que nous étions directement exposés aux vulnérabilités React CVE-2025-55182 et Next.js CVE-2025-66478. Nous poursuivrons nos efforts d'investigation à mesure que nous en apprendrons davantage.
Cependant, de nombreux clients utilisent des applications JavaScript sur notre plateforme. Voici comment déterminer si vous utilisez React 19 et si vous pourriez être vulnérable à React2Shell :
Répertoriez toutes les applications qui utilisent React Server Functions ou Next.js, par exemple, en utilisant la recherche GitHub ; une méthode directe et fiable consiste à effectuer une recherche ciblée dans leur base de code pour trouver les dépendances de formules pertinentes dans le fichier package.json
Veuillez noter que même une application Next.js vide et prête à l'emploi peut être vulnérable ; tout ce dont le hacker a besoin, c'est du serveur nécessaire pour les composants React Server Components, même si vous n'utilisez pas React Server Functions
Dans tout environnement multi-clients, il est naturel de s'inquiéter que votre « voisin » puisse être vulnérable, même si vous ne l'êtes pas, avec des effets en cascade. Avec Fastly, cependant, vous êtes à l'abri de ce genre d'effets. Fastly a conçu sa plateforme Compute dès le départ en tenant compte de la notion de charges de travail non fiables ; peu importe que vos voisins soient malveillants ou compromis, car l'architecture sandbox de Fastly est conçue pour vous protéger.
Compte tenu de la nature de la vulnérabilité, il semble probable que les tentatives d'exploitation ne soient pas une question de « si », mais de « quand ». Si vous avez besoin de plus de temps pour corriger vos applications React ou Next.js, nous vous recommandons vivement d'appliquer immédiatement des protections actives, notamment via NGWAF de Fastly, comme décrit ci-dessus, afin de minimiser l'impact commercial des attaques (et de réduire le retour sur investissement des cybercriminels qui exploitent ces vulnérabilités).
À venir
Nous sommes conscients que nos clients nous confient la résilience de leurs services essentiels à leur activité, et notre mission principale est de vous soutenir lorsque des incidents tels que ceux liés aux vulnérabilités CVE-2025-55182 et CVE-2025-66478 surviennent. Nos équipes sont à votre disposition pour vous aider à gérer l'atténuation continue de React2Shell, que vous soyez un client de longue date de la plateforme Fastly ou un nouveau client ayant besoin d'une protection immédiate. Faites-nous savoir comment nous pouvons vous aider.
Nous sommes reconnaissants de pouvoir jouer notre rôle au sein de ce réseau de fournisseurs de services cloud qui s'efforcent de minimiser l'impact des cyberattaques et des utilisations abusives du cyberespace dans le monde entier. Dans un esprit visant à préserver la résilience de l'Internet et la collaboration au sein de l'écosystème, Fastly surveillera de manière proactive son réseau mondial afin de détecter toute tentative d'exploitation de la vulnérabilité React2Shell et publiera des mises à jour régulières sur les activités observées, à l'instar des informations que nous avons publiées lors de l'incident Log4Shell. Nous vous tiendrons informés.
* Je les désigne personnellement sous le nom commun de « Spicy Unpickling », en empruntant la terminologie de Python.
** Pour une protection immédiate, nous avons publié le correctif virtuel sous le numéro CVE qui nous a été communiqué : CVE-2025-66478 de Next.js. Nous travaillons actuellement à la consolidation de la vulnérabilité CVE-2025-66478 dans CVE-2025-55182, le CVE de React.