React2Shell à grande échelle : 766 serveurs Next.js piratés pour récolter des identifiants

Publié le avril 13, 2026 · par ALGERIATECH Editorial

⚡ Points Clés

Un groupe de menace identifié comme UAT-10608 a exploité CVE-2025-55182 (React2Shell), une faille CVSS 10.0 dans React Server Components, pour compromettre 766 serveurs Next.js et récolter des clés AWS, des secrets Stripe, des tokens de plateformes IA et des identifiants de bases de données à grande échelle. La vulnérabilité a été corrigée en décembre 2025, mais des centaines de serveurs restaient exposés quatre mois plus tard.

En résumé : Toute organisation exécutant Next.js 15.x ou 16.x devrait vérifier immédiatement l’état des correctifs et renouveler tous les identifiants accessibles à l’environnement d’exécution de l’application, car des outils d’analyse automatisés ciblent activement les déploiements non corrigés.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevé
▾

La communauté de développement web algérienne utilise de plus en plus Next.js et React pour les portails gouvernementaux, les fintechs et les plateformes e-commerce.

Infrastructure prête ?
Partiel
▾

Les hébergeurs algériens et les déploiements cloud existent mais la maturité de gestion des correctifs varie significativement.

Compétences disponibles ?
Partiel
▾

Les développeurs algériens maîtrisent React/Next.js, mais l’expertise dédiée en sécurité applicative pour le triage des vulnérabilités supply chain reste limitée.

Calendrier d’action
Immédiat
▾

Vulnérabilité activement exploitée avec des outils automatisés.

Parties prenantes clés
CTO, ingénieurs DevOps, équipes de sécurité applicative

Type de décision
Tactique
▾

Cela nécessite une réponse opérationnelle immédiate.

En bref : Toute organisation en Algérie exécutant des applications Next.js devrait auditer ses versions React et Next.js aujourd’hui et corriger immédiatement. Renouvelez tous les identifiants cloud, clés API et mots de passe de bases de données accessibles à l’environnement d’exécution. Implémentez des règles WAF comme mesure d’urgence.

La vulnérabilité qui obtient un score parfait de 10

En décembre 2025, l’équipe React a divulgué CVE-2025-55182 — une faille d’exécution de code à distance pré-authentification dans React Server Components notée CVSS 10.0. Surnommée « React2Shell », la vulnérabilité provient d’une désérialisation non sécurisée dans le protocole Flight que React Server Components utilise pour sérialiser les données entre client et serveur.

La faille affecte les versions React 19.0 à 19.2.0 et les versions Next.js des branches 15.x et 16.x. Des correctifs ont été publiés le 4 décembre 2025. Quatre mois plus tard, des centaines de serveurs de production restent non corrigés, et les attaquants ont industrialisé le pipeline d’exploitation.

UAT-10608 et le framework NEXUS Listener

En avril 2026, Cisco Talos a publié une analyse détaillée d’une campagne automatisée de récolte d’identifiants à grande échelle par un cluster de menace suivi comme UAT-10608. L’opération a compromis au moins 766 hôtes dans une attaque rapide et automatisée.

Toutes les données volées transitent vers un serveur de commande et contrôle exécutant une interface web personnalisée appelée NEXUS Listener. L’interface graphique fournit à l’opérateur des statistiques pré-compilées sur les identifiants récoltés et les hôtes compromis.

Ce que les attaquants récoltent

L’étendue des données exfiltrées est stupéfiante : clés d’accès AWS, identifiants Azure, clés secrètes Stripe, tokens API pour OpenAI, Anthropic, NVIDIA NIM et OpenRouter, tokens GitHub, clés SSH privées, tokens Kubernetes, chaînes de connexion de bases de données avec mots de passe en clair, et historique des commandes shell.

Détection et remédiation

La remédiation principale est simple : mettre à niveau vers les versions corrigées. Pour Next.js : 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7 et 16.0.7. Pour React : 19.0.1, 19.1.2 ou 19.2.1. Toute organisation ayant exécuté une version vulnérable devrait renouveler tous les identifiants accessibles à l’environnement d’exécution de l’application.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn

Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Questions Fréquemment Posées

Qu’est-ce que React2Shell et pourquoi est-elle notée CVSS 10.0 ?

React2Shell (CVE-2025-55182) est une vulnérabilité d’exécution de code à distance pré-authentification dans React Server Components causée par une désérialisation non sécurisée dans le protocole Flight. Elle obtient le score CVSS maximum de 10.0 car elle ne nécessite aucun identifiant, aucune interaction utilisateur, et permet une compromission totale du système via une seule requête HTTP.

Comment les organisations peuvent-elles détecter si elles ont été compromises par UAT-10608 ?

Les défenseurs devraient chercher des processus inattendus lancés depuis `/tmp/` avec des noms aléatoires préfixés par un point, des invocations `nohup` inhabituelles, et des connexions sortantes vers des endpoints inconnus.

Quels identifiants doivent être renouvelés après la correction d’un déploiement Next.js vulnérable ?

Tous les identifiants accessibles à l’environnement d’exécution : clés d’accès AWS, identifiants Azure, clés API Stripe, tokens GitHub et GitLab, clés SSH privées, chaînes de connexion de bases de données, et toutes les clés API de plateformes IA.