Faille critique React Server Components — CVE-2025-66478 (CVSS 10.0).
C’est le sujet le plus important du mois pour moi. Publié le 3 décembre 2025 par Vercel —
- CVSS 10.0 — le maximum.
- RCE non authentifiée via le protocole Flight des React Server Components.
- Touche toutes les versions Next.js 13.x, 14.x, 15.x et 16.x.
- Il faut mettre à jour immédiatement.
Quelques jours plus tard, le 11 décembre, deux autres CVE —
- 01
CVE-2025-55184. Denial of Service haute sévérité.
- 02
CVE-2025-55183. Source Code Exposure de sévérité moyenne.