Une faille critique dans React Server Components est exploitée par des attaquants pour injecter du code malveillant dans des sites web en direct, et ce code siphonne les cryptomonnaies des portefeuilles connectés.
Des rapports indiquent que la vulnérabilité, suivie sous le identifiant CVE-2025-55182, a été publiée par l'équipe React le 3 décembre et possède un niveau de gravité maximum.
La firme de cybersécurité Security Alliance (SEAL) a confirmé que plusieurs sites web liés aux cryptomonnaies sont activement ciblés, et elle exhorte les opérateurs à examiner immédiatement tous les React Server Components pour prévenir les attaques de drainage de portefeuilles.
Les équipes de sécurité affirment que ce bogue permet à un attaquant non authentifié d'exécuter du code sur les serveurs affectés, ce qui a été transformé en campagnes de drainage de portefeuilles sur plusieurs sites.
Image : Shutterstock
Un Risque Étendu Pour les Sites Utilisant des Composants Serveur
SEAL a déclaré que la faille affecte les packages React Server Components dans les versions 19.0 à 19.2.0, et que des versions corrigées telles que 19.0.1, 19.1.2 et 19.2.1 ont été publiées après la divulgation.
Des Drainers utilisant la CVE-2025-55182 de React
Nous observons une forte augmentation des drainers téléchargés sur des sites web légitimes (crypto) via l'exploitation de la récente CVE de React.
Tous les sites web devraient examiner le code front-end pour tout actif suspect MAINTENANT.
— Security Alliance (@_SEAL_Org) 13 décembre 2025
La vulnérabilité fonctionne en exploitant une désérialisation non sécurisée dans le protocole Flight, permettant à une seule requête HTTP fabriquée d'exécuter du code arbitraire avec les privilèges du serveur web. Les équipes de sécurité ont averti que de nombreux sites utilisant des configurations par défaut sont à risque jusqu'à ce qu'ils appliquent les mises à jour.
Les Attaquants Injectent des Scripts de Drainage de Portefeuilles Dans les Pages Compromises
Selon des publications de l'industrie, les acteurs de la menace utilisent l'exploit pour implanter des scripts qui invitent les utilisateurs à connecter des portefeuilles Web3, puis détournent ou redirigent les transactions.
Dans certains cas, le code injecté modifie l'interface utilisateur ou échange des adresses, de sorte qu'un utilisateur croit envoyer des fonds vers un compte alors que la transaction paie en réalité un attaquant. Cette méthode peut toucher les utilisateurs qui font confiance à des sites crypto familiers et connectent leurs portefeuilles sans vérifier chaque approbation.
Des Scanners et Preuves de Concept Inondent les Forums Souterrains
Des chercheurs en sécurité rapportent un déferlement d'outils de scan, de fausses preuves de concept et de kits d'exploitation partagés dans des forums souterrains peu après la divulgation de la vulnérabilité.
Les équipes de renseignement sur les menaces et le cloud ont observé plusieurs groupes scannant à la recherche de serveurs vulnérables et testant des charges utiles, ce qui a accéléré l'exploitation active.
Certains défenseurs affirment que la vitesse et le volume des scans ont rendu difficile l'arrêt de toutes les tentatives avant l'application des correctifs.
Plus de 50 Organisations Ont Signalé des Tentatives de Compromission
Sur la base de rapports de répondeurs aux incidents, une activité crypto post-exploitation a été observée dans plus de 50 organisations à travers la finance, les médias, le gouvernement et la tech.
Dans plusieurs enquêtes, les attaquants ont établi des points d'ancrage puis les ont utilisés pour délivrer d'autres logiciels malveillants ou pour semer du code front-end qui cible les utilisateurs de portefeuilles.
SEAL a souligné que les organisations ne parvenant pas à corriger ou à surveiller leurs serveurs pourraient subir d'autres attaques, et une surveillance continue est essentielle jusqu'à ce que tous les systèmes soient vérifiés comme sûrs.
Image principale de Unsplash, graphique de TradingView
