## https://sploitus.com/exploit?id=6CD5DF25-5B66-56D3-B521-D32D4C8A1F7F
# CVE-2025-55182 - React RSC RCE
PoC pour la vuln de deserialisation dans le protocole Flight de React Server Components.
## C'est quoi ?
Next.js 14+ et React 19 utilisent un protocole proprio ("Flight") pour communiquer entre client et serveur. Le probleme : le serveur charge n'importe quel module sans verifier. Du coup on peut lui faire executer `child_process` et boom, RCE.
## Usage
```bash
python CVE-2025-55182.py -t -p --cmd "id"
```
## Versions touchees
- Next.js < 14.2.21
- Next.js < 15.1.2
- React < 19.2.1
## Fix
Mets a jour tes deps. C'est tout.
## Disclaimer
A utiliser uniquement sur des systemes que tu possedes ou avec autorisation ecrite. Je suis pas responsable si tu fais des betises.