La vulnérabilité qui obtient un score parfait de 10
En décembre 2025, l’équipe React a divulgué CVE-2025-55182 — une faille d’exécution de code à distance pré-authentification dans React Server Components notée CVSS 10.0. Surnommée « React2Shell », la vulnérabilité provient d’une désérialisation non sécurisée dans le protocole Flight que React Server Components utilise pour sérialiser les données entre client et serveur.
La faille affecte les versions React 19.0 à 19.2.0 et les versions Next.js des branches 15.x et 16.x. Des correctifs ont été publiés le 4 décembre 2025. Quatre mois plus tard, des centaines de serveurs de production restent non corrigés, et les attaquants ont industrialisé le pipeline d’exploitation.
UAT-10608 et le framework NEXUS Listener
En avril 2026, Cisco Talos a publié une analyse détaillée d’une campagne automatisée de récolte d’identifiants à grande échelle par un cluster de menace suivi comme UAT-10608. L’opération a compromis au moins 766 hôtes dans une attaque rapide et automatisée.
Toutes les données volées transitent vers un serveur de commande et contrôle exécutant une interface web personnalisée appelée NEXUS Listener. L’interface graphique fournit à l’opérateur des statistiques pré-compilées sur les identifiants récoltés et les hôtes compromis.
Publicité
Ce que les attaquants récoltent
L’étendue des données exfiltrées est stupéfiante : clés d’accès AWS, identifiants Azure, clés secrètes Stripe, tokens API pour OpenAI, Anthropic, NVIDIA NIM et OpenRouter, tokens GitHub, clés SSH privées, tokens Kubernetes, chaînes de connexion de bases de données avec mots de passe en clair, et historique des commandes shell.
Détection et remédiation
La remédiation principale est simple : mettre à niveau vers les versions corrigées. Pour Next.js : 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 et 16.0.7. Pour React : 19.0.1, 19.1.2 ou 19.2.1. Toute organisation ayant exécuté une version vulnérable devrait renouveler tous les identifiants accessibles à l’environnement d’exécution de l’application.
Questions Fréquemment Posées
Qu’est-ce que React2Shell et pourquoi est-elle notée CVSS 10.0 ?
React2Shell (CVE-2025-55182) est une vulnérabilité d’exécution de code à distance pré-authentification dans React Server Components causée par une désérialisation non sécurisée dans le protocole Flight. Elle obtient le score CVSS maximum de 10.0 car elle ne nécessite aucun identifiant, aucune interaction utilisateur, et permet une compromission totale du système via une seule requête HTTP.
Comment les organisations peuvent-elles détecter si elles ont été compromises par UAT-10608 ?
Les défenseurs devraient chercher des processus inattendus lancés depuis `/tmp/` avec des noms aléatoires préfixés par un point, des invocations `nohup` inhabituelles, et des connexions sortantes vers des endpoints inconnus.
Quels identifiants doivent être renouvelés après la correction d’un déploiement Next.js vulnérable ?
Tous les identifiants accessibles à l’environnement d’exécution : clés d’accès AWS, identifiants Azure, clés API Stripe, tokens GitHub et GitLab, clés SSH privées, chaînes de connexion de bases de données, et toutes les clés API de plateformes IA.
Sources et lectures complémentaires
- UAT-10608: Inside a Large-Scale Credential Harvesting Operation — Cisco Talos
- Hackers Exploit CVE-2025-55182 to Breach 766 Next.js Hosts — The Hacker News
- Critical Security Vulnerability in React Server Components — React
- React2Shell: Critical React Vulnerability — Wiz
- Defending Against CVE-2025-55182 — Microsoft Security Blog
- React2Shell Exploited in Large-Scale Credential Harvesting Campaign — SecurityWeek
🔗 Intelligence Connexe
Le navigateur comme champ de bataille : attaques côté client
Supposer la Violation : Pourquoi la Cyber-Résilience Surpasse Désormais la Cybersécurité
L’économie du phishing-as-a-service : comment 50 $ suffisent pour lancer une cyberattaque
Cascade ShinyHunters : une brèche GitHub compromet 760 entreprises
