Qu’est-ce que React2Shell ? (CVE-2025-55182 et CVE-2025-66478)

Les vulnérabilités React CVE-2025-55182 et Next.js CVE-2025-66478, désormais regroupées sous le nom de React2Shell, reflètent un bug de pollution de prototype, mais pas un bug classique. La plupart des bugs de pollution de prototype nécessitent un autre bug pour être utiles au hacker, mais ceux-ci ne nécessitent qu’une seule étape.

Ils sont classés CVSS 10.0, le niveau de gravité le plus élevé.  Si vous êtes vulnérable, une action immédiate est requise.

En savoir plus En savoir plus sur CVSS 10.0

« Cela me concerne-t-il ? » Liste de contrôle

Configurations vulnérables :

  • Versions de React (19.0, 19.1 et 19.2) en conjonction avec l’une des mises en œuvre RSC listées : 

  • Next.js 15, 15.1, 15.2, 15.3, 15.4, 15.5, 16 

  • Routeur d'application

  • Aperçu de React Router RSC

  • Plug-in Parcel RSC

  • Plug-in Vite RSC

Si vous utilisez l’un d’entre eux sans correctif, vous êtes peut-être vulnérable.

Hub d'incidents React2Shell

Découvrez comment remédier à ces vulnérabilités critiques.

  • Mises à jour de statut

    L’équipe de sécurité de Fastly fournit des mises à jour en temps réel de la faille critique d’exécution de code à distance et des vulnérabilités associées identifiées dans le framework React.

    Suivre l’évolution de l’incident

  • Industries et régions ciblées

    La portée de React2Shell s’étend aux entreprises du monde entier. Voici ce que nous constatons et les mesures que les entreprises devraient prendre, notamment identifier et corriger immédiatement les applications vulnérables.

    En savoir plus

  • Nous contacter

    Besoin d’aide pour une remédiation ? Ne vous inquiétez pas, nous sommes là pour vous aider. Pour toute question ou demande concernant la vulnérabilité React2Shell, veuillez nous envoyer un e-mail.

    Envoyer un e-mail à CVE-alert@fastly.com

Nous avons immédiatement agi

Au soir du 1er décembre 2025, Vercel a informé Fastly de la divulgation prochaine des vulnérabilités désormais désignées conjointement sous le nom de React2Shell. Après avoir pris connaissance de ces vulnérabilités, Fastly a immédiatement lancé une enquête sur nos systèmes internes et a commencé à développer du contenu de détection afin d’offrir un support rapide et proactif à nos clients. 

Dans les heures qui ont suivi, des correctifs virtuels de ces CVE ont été mis à disposition, afin de donner un peu de répit aux entreprises évaluant leur exposition. Notre enquête en cours nous a permis de constater que l’infrastructure centrale de la plateforme de Fastly n’est pas vulnérable à React2Shell.

Comment Fastly vous protège

Pour empêcher l’exécution de code à distance due à la vulnérabilité React2Shell, il est recommandé aux clients de Fastly NGWAF d’appliquer immédiatement le correctif virtuel pour CVE-2025-66478 (qui corrige également CVE-2025-55182). Le 12 décembre, suite aux informations de Vercel et Meta concernant CVE-2025-55184 (déni de service) et CVE-2025-55183 (fuite d’informations), Fastly a rapidement développé et déployé un correctif virtuel pour les deux. Ces correctifs étaient activés par défaut en mode blocage pour tous les clients Fastly NGWAF. Notre détection existante pour CVE-2025-55184 couvre également automatiquement la vulnérabilité CVE-2025-67779 associée.

Fastly Compute s’exécute sur WebAssembly (Wasm), qui isole rigoureusement chaque requête. Cette architecture empêche les exploits RCE de s’échapper de l’environnement d’exécution pour accéder aux données de l’hôte ou d’autres utilisateurs.

Envie d’en savoir plus ?