Une campagne d'exploitation massive cible les applications Next.js vulnérables à CVE-2025-55182, surnommée React2Shell, une faille critique notée CVSS 10.0 dans les React Server Components. Cisco Talos attribue l'activité au cluster de menaces UAT-10608 et estime qu'au moins 766 serveurs répartis dans plusieurs régions géographiques et fournisseurs cloud ont été compromis. Les attaquants déploient un framework C2 baptisé NEXUS Listener pour collecter automatiquement des identifiants AWS, GCP, Azure, des clés SSH, des tokens GitHub, des secrets Stripe et des clés API de plateformes d'IA incluant OpenAI et Anthropic. Cette campagne illustre l'industrialisation du vol de credentials à grande échelle via des vulnérabilités dans les frameworks web modernes.

En bref

  • CVE-2025-55182 (CVSS 10.0) : RCE non authentifiée dans React Server Components / Next.js App Router
  • 766 serveurs compromis — vol automatisé de credentials cloud, SSH, API keys
  • Framework C2 « NEXUS Listener » avec interface graphique pour analyser les données volées

Les faits

Cisco Talos a publié le 4 avril 2026 un rapport détaillé sur une campagne d'exploitation active de CVE-2025-55182, une vulnérabilité critique dans les React Server Components utilisés par Next.js. Cette faille permet une exécution de code à distance (RCE) non authentifiée en exploitant une erreur dans la façon dont React décode les payloads envoyés aux endpoints React Server Functions. Le cluster de menaces responsable, désigné UAT-10608, a compromis au moins 766 hôtes répartis sur AWS, Google Cloud, Microsoft Azure et des hébergeurs traditionnels. La faille, initialement divulguée fin 2025, fait l'objet d'exploitations depuis plusieurs mois, mais cette campagne marque un passage à l'échelle industrielle. Les organisations utilisant Next.js doivent considérer cette menace comme directement applicable à leur environnement.

L'aspect le plus préoccupant est le framework de commande et contrôle utilisé par les attaquants. Baptisé NEXUS Listener, il dispose d'une interface web graphique permettant de visualiser et analyser les données volées avec des statistiques précompilées. Une instance NEXUS Listener non protégée par authentification a été découverte par les chercheurs, révélant l'ampleur des données collectées : clés API Stripe, tokens Telegram, secrets SendGrid et Brevo, clés OpenAI et Anthropic, tokens GitHub et GitLab, chaînes de connexion bases de données et clés privées SSH. Ce type de supply chain attack ciblant les développeurs devient un vecteur majeur en 2026.

Impact et exposition

Toute application Next.js utilisant l'App Router avec des Server Components et n'ayant pas appliqué les correctifs pour CVE-2025-55182 est vulnérable. L'exploitation est triviale et automatisée — il ne s'agit pas d'attaques ciblées mais d'un scan massif d'Internet suivi d'une exploitation opportuniste. Les serveurs compromis fournissent aux attaquants un accès aux credentials cloud (IAM roles via le metadata service), aux secrets applicatifs et aux clés de chiffrement. L'impact est donc bien supérieur à la compromission du serveur lui-même : c'est l'ensemble de l'infrastructure cloud qui peut être atteinte. Les zero-days exploités avant patch sont malheureusement devenus la norme dans cet écosystème.

Recommandations

  • Immédiat : mettre à jour Next.js vers la dernière version corrigeant CVE-2025-55182 — vérifier sur le site officiel de Next.js
  • Urgent : effectuer une rotation de tous les secrets (clés API, tokens, credentials base de données) sur les serveurs Next.js exposés à Internet
  • Investigation : rechercher des indicateurs de compromission — connexions sortantes inhabituelles, processus non autorisés, accès au metadata service cloud depuis l'application
  • Implémenter des restrictions réseau sur le metadata service cloud (IMDSv2 sur AWS, par exemple) pour limiter l'exfiltration de credentials IAM, conformément aux bonnes pratiques d'audit de sécurité

Alerte critique

CVSS 10.0, exploitation automatisée et massive, 766 serveurs déjà compromis. Si vous utilisez Next.js avec l'App Router, considérez que vous êtes potentiellement exposé MAINTENANT. Mettez à jour et effectuez une rotation de secrets sans attendre.

Comment savoir si mon application Next.js est vulnérable à React2Shell ?

Vérifiez votre version de Next.js dans votre fichier package.json. Les versions utilisant l'App Router avec React Server Components antérieures au correctif sont vulnérables. Consultez les advisories officielles de Next.js et de React pour les numéros de versions corrigées. En cas de doute, mettez à jour vers la dernière version stable immédiatement.

Quels types de données les attaquants volent-ils sur les serveurs compromis ?

Le framework NEXUS Listener collecte automatiquement : les credentials IAM temporaires via le metadata service cloud (AWS, GCP, Azure), les variables d'environnement contenant des secrets applicatifs, les clés SSH privées, les tokens GitHub/GitLab, les clés API Stripe et de plateformes d'IA, les configurations Docker, l'historique des commandes shell et les chaînes de connexion aux bases de données.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit