Début décembre, le spectre d'un nouveau Log4J planait sur les apps React et Next.js avec une faille critique, la CVE-2025-55182. Elle fut rapidement appelée React4Shell. Nous vous en parlions dès le 4 décembre : https://www.programmez.com/actualites/react-et-nextjs-deux-failles-critiques-decouvertes-mise-jour-en-urgence-38655

Pour résumer : Ces failles permettent d'exécuter du code distance et fragilise votre configuration par défaut. Sur React, elles touchent le protocole React Server Components, rend vulnérable la configuration par défaut quand vous créez une app standard. Elles peuvent aussi exploitation une requête HTTP à cause d'une faiblesse dans la désérialisation dans React Server Components... Les équipes de Wiz Research estiment que 39 % des environnements sont touchés. 

Très rapidement, React et Next ont déployé des patchs pour combler les CVE. Mais React2Shell a montré la rapidité avec laquelle les hackers peuvent réagir et exploiter une faille. Google Threat Intelligence avait publié un long post sur l'exploitation de la faille (12 décembre) et que des campagnes d'attaque ont été observées peu après l'annonce de React2Shell, notamment pour exécuter un code malveillant et y installer des backdoors ou faire du minage illégal. Plusieurs groupes de hackers en ont profité (China-Nexus, Earth Lamia, etc.).

Darktrace analysait ainsi la situation le 10 décembre : 

- vulnérabilité découverte/annoncée le 3 décembre avec le proof of concept d'exploitation

- les patchs sont déployés le même jour

- à peine 30 heures ont suffi à des hackers pour exploiter les vulnérabilités et observer les premières campagnes d'attaque.

"Ce calendrier très rapide a fait que de nombreux serveurs sont restés non corrigés au moment où les attaquants ont commencé à exploiter activement la vulnérabilité." analyse Darktrace. Source : https://www.darktrace.com/fr/blog/react2shell-how-opportunist-attackers-exploited-cve-2025-55182-within-hours

Ce n'est pas tant la faille qui est intéressante mais la rapidité d'exploitation des hackers et cela doit nous inquiéter. Le déploiement des correctifs est donc crucial pour réduire la surface d'attaque. Il faut une stratégique claire sur les dépendances et le suivi des failles. Malheureusement, trop de dépendances et de piles techniques ne sont pas mises à jour ou trop tardivement, pis, des versions obsolètes sont toujours en production... 

Les hackers profident pleinement du délai de mise à jour des stakcs par les développeurs et les entreprises.