Deux CVE critiques touchent React et Next.js : CVE-2025-55182 et CVE-2025-66478. Il faut patcher en urgence vos stacks React et Next. Ces failles permettent d'exécuter du code distance et fragilise votre configuration par défaut. Sur React, elles touchent le protocole React Server Components, rend vulnérable la configuration par défaut quand vous créez une app standard. 

Elles peuvent aussi exploitation une requête HTTP à cause d'une faiblesse dans la désérialisation dans React Server Components... Les équipes de Wiz Research estiment que 39 % des environnements sont touchés. 

Les modules et librairies concernés (liste non exhaustive)

• Next.js

• Vite RSC plugin

• Parcel RSC plugin

• React Router RSC preview

• RedwoodSDK

• Waku

Les versions impactées

- react-server-dom : 19.0.0, 19.1.0, 19.1.1 et 19.2.0

- Next : 14.3.0, 15.x et 16.x

Il faut patcher sans délai avec les versions react 19.0.1, 19.1.2, 19.2.1 et pour Next avec les mises à jour 14.3.0-canary.88, 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7

Pour en savoir plus : https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182