Le 3 décembre, une vulnérabilité critique (CVE-2025-55182) affectant React Server Components (RSC) a été rendue publique par l’équipe React. Cette vulnérabilité permet l’exécution de code arbitraire (ACE, Arbitrary Code Execution) sur le serveur dans certaines conditions — ce qui en fait l’un des problèmes les plus graves jamais identifiés dans l’écosystème React. Comme le Next.js App Router repose largement sur les React Server Components, la vulnérabilité a un impact en cascade sur les applications Next.js, documenté sous un second identifiant : CVE-2025-66478. L’ANSSI a confirmé la gravité du problème et publié une alerte à destination des organisations françaises. Si votre application utilise React Server Components, Next.js App Router, ou tout framework permettant le rendu de composants côté serveur, vous devez effectuer la mise à jour immédiatement. C’est le seul moyen d’éliminer la vulnérabilité.
Ce que Clever Cloud a déjà réalisé en interne
Juste après la divulgation, nos équipes d’ingénierie ont effectué des vérifications internes : aucun service Clever Cloud ne repose sur React Server Components ou Next.js de manière vulnérable au CVE-2025-55182.
Nous avons mis à jour nos dépendances internes lorsque c’était nécessaire. Nous avons vérifié qu’aucun poste de développement ni aucun outil interne n’utilisait des versions de RSC affectées. Notre plateforme n’intègre pas React, RSC ou Next.js ; ces frameworks sont toujours sous le contrôle des clients, au sein de leurs propres applications.
Ce que nous ne pouvons pas faire
En tant que fournisseur de plateforme :
- Nous n’inspectons ni n’analysons votre code.
- Nous ne scannons pas les versions de React, RSC ou Next.js que vous déployez.
- Nous n’appliquons pas automatiquement de correctifs de sécurité à votre application.
Cela signifie que nous ne pouvons pas déterminer si votre application est vulnérable. Seul vous pouvez auditer et mettre à jour les dépendances de votre logiciel.
Ce que vous devez faire si vos applications tournent sur React ou Next.js
1. Mettre à jour React vers une version patchée
Installez les versions corrigées de React publiées dans l’avis officiel :
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components Cela protège de la CVE-2025-55182.
2.Mettez à jour Next.js si vous utilisez l’App Router
Pour les applications Next.js, installez les versions corrigées pour le CVE-2025-66478 :
https://nextjs.org/blog/CVE-2025-66478 . Cela concerne tous les projets utilisant le Next.js App Router ou les React Server Components dans des pages hybrides Next.js combinant composants serveur et client.
3. Reconstruisez et redéployez votre application
Après la mise à jour :
- effacez les lockfiles / caches si nécessaire,
- réinstallez les dépendances,
- recompilez en local ou via votre CI,
- redéployez sur Clever Cloud.
Cela garantit qu’aucun artefact vulnérable ne subsiste.
4. Faites pivoter les identifiants sensibles si vous suspectez une exposition
Si un déploiement vulnérable a traité des données non fiables, faites pivoter vos secrets d’environnement, identifiants de bases de données, clés d’API et secrets de session. C’est une précaution standard lorsque l’exécution de code arbitraire est possible.
5. Consultez et appliquez les recommandations de l’ANSSI
L’ANSSI a publié une alerte détaillée concernant cette vulnérabilité :
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2025-ALE-014/
Nous encourageons fortement toutes les organisations à suivre leurs recommandations.
Résumé
Si votre application utilise React Server Components ou Next.js App Router, vous devez :
- mettre à jour React (CVE-2025-55182)
- mettre à jour Next.js (CVE-2025-66478)
- reconstruire et redéployer
- prendre des précautions si une exposition a pu se produire
Clever Cloud garantit la sécurité de la plateforme, mais la responsabilité des dépendances de votre application relève de chaque équipe de développement. Nous partageons ces informations afin de vous aider à prendre les bonnes mesures le plus rapidement possible. Si vous avez des questions concernant la sécurisation de vos déploiements sur Clever Cloud, nous sommes à votre disposition.
Sources
- Conseils de React (CVE-2025-55182): https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
- Conseils de Next.js (CVE-2025-66478): https://nextjs.org/blog/CVE-2025-66478
- Alerte ANSSI : https://www.cert.ssi.gouv.fr/alerte/CERTFR-2025-ALE-014/