Vulnérabilité critique dans React Server Components
Une vulnérabilité critique d’exécution de code à distance (RCE) dans React Server Components est exploitée pour détourner des serveurs, vider des portefeuilles de cryptomonnaie, installer des mineurs de Monero et alimenter une vague de vols s’élevant à 3 milliards de dollars en 2025, malgré des appels urgents à des correctifs. Cette faille de sécurité a suscité des avertissements pressants dans l’industrie de la cryptomonnaie, alors que des acteurs malveillants en tirent parti pour siphonner des fonds et déployer des logiciels malveillants, selon Security Alliance.
Exploitation de la vulnérabilité CVE-2025-55182
Security Alliance a signalé que des crypto-drainers exploitent activement la vulnérabilité CVE-2025-55182, incitant tous les sites web à examiner immédiatement leur code front-end pour détecter des éléments suspects. La vulnérabilité affecte non seulement les protocoles Web3, mais également tous les sites utilisant React, les attaquants ciblant les signatures de transactions sur diverses plateformes. Les utilisateurs sont exposés à des risques lors de la signature de transactions, car un code malveillant peut intercepter les communications des portefeuilles et rediriger les fonds vers des adresses contrôlées par les attaquants, selon des chercheurs en sécurité.
Divulgation et impact de la vulnérabilité
L’équipe officielle de React a divulgué la vulnérabilité CVE-2025-55182 le 3 décembre, lui attribuant un score CVSS de 10.0 suite à un rapport de Lachlan Davidson du 29 novembre via le programme Meta Bug Bounty. Cette vulnérabilité d’exécution de code à distance non authentifiée exploite la manière dont React décode les charges utiles envoyées aux points de terminaison des fonctions serveur, permettant aux attaquants de créer des requêtes HTTP malveillantes qui exécutent du code arbitraire sur les serveurs.
La faille impacte les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 des paquets react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack. Des frameworks majeurs, y compris Next.js, React Router, Waku et Expo, nécessitent des mises à jour immédiates. Des correctifs ont été publiés dans les versions 19.0.1, 19.1.2 et 19.2.1.
Attaques et exploitation des vulnérabilités
Des chercheurs ont découvert deux nouvelles vulnérabilités dans React Server Components tout en tentant d’exploiter les correctifs. Ces problèmes sont distincts de la vulnérabilité critique.
Le Google Threat Intelligence Group a documenté des attaques généralisées commençant le 3 décembre, impliquant des groupes criminels allant de hackers opportunistes à des opérations soutenues par des gouvernements. Des groupes de hackers chinois ont installé divers types de logiciels malveillants sur des systèmes compromis, ciblant principalement des serveurs cloud sur Amazon Web Services et Alibaba Cloud.
Conséquences financières et recommandations
Des criminels motivés financièrement ont rejoint la vague d’attaques à partir du 5 décembre, installant des logiciels de minage de cryptomonnaie qui exploitent la puissance de calcul des victimes pour générer du Monero. Les hackers volent de la cryptomonnaie et la déplacent rapidement, un processus de blanchiment prenant apparemment seulement 2 minutes et 57 secondes.
Les organisations utilisant React ou Next.js sont conseillées de corriger immédiatement vers les versions 19.0.1, 19.1.2 ou 19.2.1, de déployer des règles WAF, d’auditer toutes les dépendances, de surveiller le trafic réseau pour des commandes wget ou cURL initiées par des processus de serveur web, et de rechercher des répertoires cachés non autorisés ou des injections de configuration de shell malveillantes.
