Home | Blog | Vulnérabilité critique dans React Server Components et Next.js : ce que les clients de Clever Cloud doivent faire

Vulnérabilité critique dans React Server Components et Next.js : ce que les clients de Clever Cloud doivent faire

By Horacio Gonzalez

Entreprise


Le 3 décembre, une vulnérabilité critique (CVE-2025-55182) affectant React Server Components (RSC) a été rendue publique par l’équipe React. Cette vulnérabilité permet l’exécution de code arbitraire (ACE, Arbitrary Code Execution) sur le serveur dans certaines conditions — ce qui en fait l’un des problèmes les plus graves jamais identifiés dans l’écosystème React. Comme le Next.js App Router repose largement sur les React Server Components, la vulnérabilité a un impact en cascade sur les applications Next.js, documenté sous un second identifiant : CVE-2025-66478. L’ANSSI a confirmé la gravité du problème et publié une alerte à destination des organisations françaises. Si votre application utilise React Server Components, Next.js App Router, ou tout framework permettant le rendu de composants côté serveur, vous devez effectuer la mise à jour immédiatement. C’est le seul moyen d’éliminer la vulnérabilité.

Ce que Clever Cloud a déjà réalisé en interne

Juste après la divulgation, nos équipes d’ingénierie ont effectué des vérifications internes : aucun service Clever Cloud ne repose sur React Server Components ou Next.js de manière vulnérable au CVE-2025-55182.

Nous avons mis à jour nos dépendances internes lorsque c’était nécessaire. Nous avons vérifié qu’aucun poste de développement ni aucun outil interne n’utilisait des versions de RSC affectées. Notre plateforme n’intègre pas React, RSC ou Next.js ; ces frameworks sont toujours sous le contrôle des clients, au sein de leurs propres applications.

Ce que nous ne pouvons pas faire

En tant que fournisseur de plateforme :

  • Nous n’inspectons ni n’analysons votre code.
  • Nous ne scannons pas les versions de React, RSC ou Next.js que vous déployez.
  • Nous n’appliquons pas automatiquement de correctifs de sécurité à votre application.

Cela signifie que nous ne pouvons pas déterminer si votre application est vulnérable. Seul vous pouvez auditer et mettre à jour les dépendances de votre logiciel.

Ce que vous devez faire si vos applications tournent sur React ou Next.js

1. Mettre à jour React vers une version patchée

Installez les versions corrigées de React publiées dans l’avis officiel :
 https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components Cela protège de la CVE-2025-55182.

2.Mettez à jour Next.js si vous utilisez l’App Router

Pour les applications Next.js, installez les versions corrigées pour le CVE-2025-66478 :
https://nextjs.org/blog/CVE-2025-66478 . Cela concerne tous les projets utilisant le Next.js App Router ou les React Server Components dans des pages hybrides Next.js combinant composants serveur et client.

3. Reconstruisez et redéployez votre application

Après la mise à jour :

  • effacez les lockfiles / caches si nécessaire,
  • réinstallez les dépendances,
  • recompilez en local ou via votre CI,
  • redéployez sur Clever Cloud.

Cela garantit qu’aucun artefact vulnérable ne subsiste.

4. Faites pivoter les identifiants sensibles si vous suspectez une exposition

Si un déploiement vulnérable a traité des données non fiables, faites pivoter vos secrets d’environnement, identifiants de bases de données, clés d’API et secrets de session. C’est une précaution standard lorsque l’exécution de code arbitraire est possible.

5. Consultez et appliquez les recommandations de l’ANSSI

L’ANSSI a publié une alerte détaillée concernant cette vulnérabilité :
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2025-ALE-014/

Nous encourageons fortement toutes les organisations à suivre leurs recommandations.

Résumé

Si votre application utilise React Server Components ou Next.js App Router, vous devez :

  • mettre à jour React (CVE-2025-55182)
  • mettre à jour Next.js (CVE-2025-66478)
  • reconstruire et redéployer
  • prendre des précautions si une exposition a pu se produire

Clever Cloud garantit la sécurité de la plateforme, mais la responsabilité des dépendances de votre application relève de chaque équipe de développement. Nous partageons ces informations afin de vous aider à prendre les bonnes mesures le plus rapidement possible. Si vous avez des questions concernant la sécurisation de vos déploiements sur Clever Cloud, nous sommes à votre disposition.

Sources

Blog

À lire également

Comment nous avons déployé une application Vinext en quelques minutes sur Clever Cloud avec l’IA
Cloudflare vient d'annoncer Vinext, un remplacement drop-in de Next.js construit sur Vite. Le projet est vibecodé, expérimental, mais la promesse est séduisante : builds jusqu'à 4x plus rapides, bundles 57% plus légers, et une couverture de 94% de l'API Next.js. Nous avons voulu voir à quel point il était facile de le déployer sur Clever Cloud.
Engineering

Nouveauté IAM : ce que permet notre Keycloak managé aujourd’hui
Depuis son lancement, Keycloak as a Service a connu de nombreuses évolutions pour répondre aux usages concrets des entreprises et aux exigences d’un IAM opéré à grande échelle.
Engineering

Clever Cloud auditionné par la Commission des Lois de l’Assemblée nationale dans le cadre de la proposition de loi relative à la sécurisation des marchés publics numériques
Nantes, le 16 février 2026 – Clever Cloud est honoré d’être auditionné le 20 février 2026 devant la Commission des Lois de l’Assemblée nationale dans le cadre de l’examen de la proposition de loi n°2258 relative à la sécurisation des marchés publics numériques, adoptée par le Sénat.
Entreprise Presse