Home | Blog | Vulnérabilité critique dans React Server Components et Next.js : ce que les clients de Clever Cloud doivent faire

Vulnérabilité critique dans React Server Components et Next.js : ce que les clients de Clever Cloud doivent faire

2025 12 03 clever cloud banniere blog top meilleurs clouds europeens en 2

By Horacio Gonzalez

Entreprise


Le 3 décembre, une vulnérabilité critique (CVE-2025-55182) affectant React Server Components (RSC) a été rendue publique par l’équipe React. Cette vulnérabilité permet l’exécution de code arbitraire (ACE, Arbitrary Code Execution) sur le serveur dans certaines conditions — ce qui en fait l’un des problèmes les plus graves jamais identifiés dans l’écosystème React. Comme le Next.js App Router repose largement sur les React Server Components, la vulnérabilité a un impact en cascade sur les applications Next.js, documenté sous un second identifiant : CVE-2025-66478. L’ANSSI a confirmé la gravité du problème et publié une alerte à destination des organisations françaises. Si votre application utilise React Server Components, Next.js App Router, ou tout framework permettant le rendu de composants côté serveur, vous devez effectuer la mise à jour immédiatement. C’est le seul moyen d’éliminer la vulnérabilité.

Ce que Clever Cloud a déjà réalisé en interne

Juste après la divulgation, nos équipes d’ingénierie ont effectué des vérifications internes : aucun service Clever Cloud ne repose sur React Server Components ou Next.js de manière vulnérable au CVE-2025-55182.

Nous avons mis à jour nos dépendances internes lorsque c’était nécessaire. Nous avons vérifié qu’aucun poste de développement ni aucun outil interne n’utilisait des versions de RSC affectées. Notre plateforme n’intègre pas React, RSC ou Next.js ; ces frameworks sont toujours sous le contrôle des clients, au sein de leurs propres applications.

Ce que nous ne pouvons pas faire

En tant que fournisseur de plateforme :

  • Nous n’inspectons ni n’analysons votre code.
  • Nous ne scannons pas les versions de React, RSC ou Next.js que vous déployez.
  • Nous n’appliquons pas automatiquement de correctifs de sécurité à votre application.

Cela signifie que nous ne pouvons pas déterminer si votre application est vulnérable. Seul vous pouvez auditer et mettre à jour les dépendances de votre logiciel.

Ce que vous devez faire si vos applications tournent sur React ou Next.js

1. Mettre à jour React vers une version patchée

Installez les versions corrigées de React publiées dans l’avis officiel :
 https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components Cela protège de la CVE-2025-55182.

2.Mettez à jour Next.js si vous utilisez l’App Router

Pour les applications Next.js, installez les versions corrigées pour le CVE-2025-66478 :
https://nextjs.org/blog/CVE-2025-66478 . Cela concerne tous les projets utilisant le Next.js App Router ou les React Server Components dans des pages hybrides Next.js combinant composants serveur et client.

3. Reconstruisez et redéployez votre application

Après la mise à jour :

  • effacez les lockfiles / caches si nécessaire,
  • réinstallez les dépendances,
  • recompilez en local ou via votre CI,
  • redéployez sur Clever Cloud.

Cela garantit qu’aucun artefact vulnérable ne subsiste.

4. Faites pivoter les identifiants sensibles si vous suspectez une exposition

Si un déploiement vulnérable a traité des données non fiables, faites pivoter vos secrets d’environnement, identifiants de bases de données, clés d’API et secrets de session. C’est une précaution standard lorsque l’exécution de code arbitraire est possible.

5. Consultez et appliquez les recommandations de l’ANSSI

L’ANSSI a publié une alerte détaillée concernant cette vulnérabilité :
https://www.cert.ssi.gouv.fr/alerte/CERTFR-2025-ALE-014/

Nous encourageons fortement toutes les organisations à suivre leurs recommandations.

Résumé

Si votre application utilise React Server Components ou Next.js App Router, vous devez :

  • mettre à jour React (CVE-2025-55182)
  • mettre à jour Next.js (CVE-2025-66478)
  • reconstruire et redéployer
  • prendre des précautions si une exposition a pu se produire

Clever Cloud garantit la sécurité de la plateforme, mais la responsabilité des dépendances de votre application relève de chaque équipe de développement. Nous partageons ces informations afin de vous aider à prendre les bonnes mesures le plus rapidement possible. Si vous avez des questions concernant la sécurisation de vos déploiements sur Clever Cloud, nous sommes à votre disposition.

Sources

Blog

À lire également

Modernisation cloud : comment articuler gouvernance et exploitation sans complexifier
Les organisations européennes gèrent aujourd'hui des environnements de plus en plus hétérogènes : applications héritées, services cloud-native, multi-cloud et contraintes réglementaires s'accumulent dans des systèmes d'information rarement conçus pour cette diversité.
Engineering Événements Event Invité

Clever Cloud lance Clever Kubernetes Engine (CKE) en bêta publique le 27 avril 2026
Présenté en avant-première au Devoxx à partir du 22 avril, CKE est l'aboutissement de deux ans de R&D autour d'une réimplémentation complète de Kubernetes.
Engineering Entreprise Fonctionnalités Presse

Le consortium DEEP, OVHcloud et Clever Cloud, sélectionné pour le cloud souverain des institutions européennes
Le consortium composé de DEEP by POST Luxembourg Group, OVHcloud et Clever Cloud annonce aujourd’hui sa sélection par la Commission Européenne dans le cadre d’un appel d’offres majeur visant à fournir des services de cloud souverain aux institutions, organes et agences de l’Union européenne. Ce marché, doté d’un plafond de 180 millions d’euros sur six ans, constitue une étape structurante dans la mise en œuvre concrète de la stratégie européenne de souveraineté numérique.
Entreprise