Aller au contenu principal

CVE-2025-66478

Mise à jour de votre application Next.js pour corriger la vulnérabilité CVE-2025-66478

CVE-2025-66478

Qu'est-ce que la CVE-2025-66478 ?

La vulnérabilité critique, identifiée sous le numéro CVE-2025-66478 et divulguée le 6 décembre 2025, permet une exécution de code à distance non authentifiée, avec un score CVSS de 10.0, la classant comme extrêmement sévère.

attention

Un attaquant distant peut exploiter une désérialisation non sécurisée en envoyant des requêtes HTTP malveillantes, menant potentiellement à l'exécution arbitraire de code sur le serveur.

Que signifie « Exécution arbitraire » ?

« Exécution arbitraire » en anglais Arbitrary Code Execution (ACE) ou Remote Code Execution (RCE) est l’une des vulnérabilités les plus graves en cybersécurité.

Cela signifie qu’un attaquant parvient à faire exécuter sur un serveur n’importe quel code, comme s’il avait un accès complet à la machine (sans identifiant/mot de passe).

Pour plus de détails techniques, consultez l'avis officiel du CERT-FR : https://cert.ssi.gouv.fr/actualite/CERTFR-2025-ACT-053.

Comment mettre à jour votre application ?

Correction Rapide avec npx fix-react2shell-next

Cette commande NPM, publiée par l'équipe Next.js le 3 décembre 2025, applique automatiquement les patches nécessaires sans migration majeure.

  1. Ouvrez un terminal dans le répertoire racine de votre projet.

  2. Exécutez la commande :

    npx fix-react2shell-next

    Cette outil modifie les fichiers de configuration et applique automatiquement les correctifs nécessaires.

  3. Redémarrez votre serveur de développement :

    npm run dev

  4. Testez votre application pour vous assurer que tout fonctionne comme avant.

  5. Committez (avec Git) les modifications apportées :

    git add .
    git commit -m "Mise à jour Next.js pour corriger CVE-2025-66478"

  6. Si vous êtes dans une branche différente de votre branche principale (main ou master), mergez les modifications dans votre branche principale :

    git checkout main
    git merge <votre_branche>

  7. Poussez les changements vers votre dépôt distant (GitHub) afin que Vercel puisse déployer la nouvelle version corrigée :

    git push

  8. Sur Vercel, surveillez le déploiement pour vous assurer qu'il se déroule sans problème.