Share
## https://sploitus.com/exploit?id=6CD5DF25-5B66-56D3-B521-D32D4C8A1F7F
# CVE-2025-55182 - React RSC RCE

PoC pour la vuln de deserialisation dans le protocole Flight de React Server Components.

## C'est quoi ?

Next.js 14+ et React 19 utilisent un protocole proprio ("Flight") pour communiquer entre client et serveur. Le probleme : le serveur charge n'importe quel module sans verifier. Du coup on peut lui faire executer `child_process` et boom, RCE.

## Usage

```bash
python CVE-2025-55182.py -t  -p  --cmd "id"
```

## Versions touchees

- Next.js < 14.2.21
- Next.js < 15.1.2  
- React < 19.2.1

## Fix

Mets a jour tes deps. C'est tout.

## Disclaimer

A utiliser uniquement sur des systemes que tu possedes ou avec autorisation ecrite. Je suis pas responsable si tu fais des betises.