Next.js : un exploit contourne les WAF et expose à une exécution de code à distance

Un nouvel exploit public, NextRce, met en évidence une faiblesse critique dans l’implémentation des React Server Components (RSC) du App Router de Next.js. Associé à la CVE-2025-55182 React2shell, cet exploit permet une exécution de code à distance (RCE) en manipulant la désérialisation des Server Actions. Le point notable est l’ajout d’un mode de contournement des WAF : le payload est encodé en UTF‑16LE, ce qui neutralise la plupart des signatures de détection tout en restant interprété correctement côté serveur Node.js.

Sévérité et impact La vulnérabilité est critique. En cas d’exploitation, les impacts sont majeurs sur la confidentialité (exfiltration de données), l’intégrité (exécution de commandes arbitraires) et la disponibilité (prise de contrôle ou sabotage du service). La présence d’un outil automatisé, multithreadé et prêt pour des scans de masse indique une exploitation réaliste à court terme, y compris sur des environnements protégés par WAF.

Mitigation et remédiation Les mesures compensatoires (WAF, filtrage de mots-clés) sont désormais insuffisantes. La priorité est la correction applicative : identifier les applications Next.js utilisant l’App Router et les Server Actions exposées, appliquer les correctifs éditeur dès disponibilité, ou désactiver temporairement les composants vulnérables. Une revue des journaux et une détection d’indicateurs de compromission sont également recommandées pour les environnements exposés.

Source : ynsmroztas