CVE-2025-55182 / React2shell

Chaque année apporte son lot de failles de sécurité. Nous nous sommes bien amusés avec Fortinet, mais la CVE-2025-55182 et React appartiennent à une catégorie à part et ont constitué un premier cadeau de Noël pour toutes les équipes de sécurité dans le monde entier.
En quelques heures après la divulgation initiale, la vulnérabilité avait déjà enflammé les réseaux sociaux. Security Twitter débordait de captures d’écran, de réactions à chaud, d’«analyseurs instantanés » et memes de memes. À la mi-journée, des scanners en ligne étaient apparus de nulle part, et pour la toute première fois, nous avons même vu des extensions de navigateur créées spécifiquement pour détecter une CVE fraîchement annoncée (https://x.com/securityshell/status/1996976033069670548?s=20).
Cela en dit long sur la frénésie autour de cette vulnérabilité.
Pendant ce temps, les articles et communiqués de presse se sont multipliés, et les solutions EASM se sont empressées d’expliquer à leurs clients s’ils étaient à risque.
Résultat : une vague d’informations contradictoires, de suppositions et d’alertes bruyantes.

La confusion autour de CVE-2025-55182 a commencé dès que les gens ont commencé à dire que « toute application React » pouvait être menacée. Cela a suffi à mettre le feu aux poudres sur Internet. React est utilisé dans un nombre considérable d'applications web modernes, si bien que des milliers de développeurs se sont soudainement sentis concernés, que la vulnérabilité les touche réellement ou non.

Très rapidement, GitHub et Twitter se sont remplis de PoC, dont beaucoup ont été écrits par des personnes curieuses mais pas nécessairement expérimentées en matière de sécurité. La plupart de ces scripts étaient basés sur des suppositions, des informations partielles ou des incompréhensions du fonctionnement de la vulnérabilité. Certains ne testaient rien de significatif, d'autres signalaient des comportements inoffensifs comme dangereux.

La diffusion de ces PoC amateurs a créé encore plus de bruit. Les équipes de sécurité ont reçu des alertes, des captures d'écran et des liens de toutes parts, tandis que les outils EASM se sont empressés de réagir avec leurs propres détections (souvent inexactes).

En bref, tout le monde parlait de CVE-2025-55182, mais très peu de personnes vérifiaient réellement quoi que ce soit.

Chez Patrowl, nous avons emprunté une voie différente.
Au lieu d’amplifier le bruit, nous nous sommes concentrés sur la compréhension de la vulnérabilité et sur la création d’une méthode de détection fiable et testable.
Le jour où les premiers détails techniques sont devenus publics, nous avons développé et déployé un module d’exploitation spécifique sur toute notre plateforme.

Pas un vérificateur de version.
Pas un détecteur de motifs.
Un véritable test contrôlé d’exploitabilité.

Grâce à notre automatisation, nous avons pu analyser rapidement tous les actifs exposés de nos clients avec un haut niveau de précision. Une fois déployé sur les surfaces d’attaque de nos clients, la situation est devenue beaucoup plus claire :

• Seule une très petite fraction des déploiements était exploitable. Comme React est déjà une technologie détectée par nos contrôles personnalisés, cibler le composant vulnérable était beaucoup plus facile et rapide.

• 98 % des systèmes vulnérables détectés par Patrowl ont été corrigés le jour même, grâce à des rapports clairs et sans ambiguïté.

• Pas d’avalanche de faux positifs, pas de suppositions : seulement des expositions vérifiées.

  
  Alors que le reste de l’écosystème peinait à interpréter la vulnérabilité, les clients de Patrowl savaient exactement où ils en étaient dès le jour même.

Dans les jours qui ont suivi, nous avons été contactés par des entreprises auxquelles on avait indiqué, parfois avec des formulations alarmantes, qu’elles étaient exposées à la CVE-2025-55182. Ces alertes provenaient de divers fournisseurs EASM s’appuyant sur des méthodes d’empreinte automatisée. Dans tous les cas, la logique derrière l’alerte était la même : « Votre version de React est X, donc vous pourriez être vulnérable. »
Après avoir passé en revue manuellement toutes ces alertes avec les organisations concernées, la conclusion était claire : 100 % des expositions signalées étaient des faux positifs. Aucune vulnérabilité réelle parmi elles, mais beaucoup de temps perdu pour tout le monde

La CVE-2025-55182 sera retenue non seulement pour la vulnérabilité elle-même, mais aussi pour la confusion qu’elle a générée. Elle a mis en lumière un problème plus profond : de nombreux outils EASM s’appuient encore fortement sur des indicateurs superficiels, ce qui entraîne des vagues massives de faux positifs chaque fois qu’une vulnérabilité devient virale en ligne. Cela empêche les entreprises de se concentrer sur des problèmes concrets sur des surfaces d’attaque parfois énormes, réduisant leur efficacité et leur focus.
L’approche de Patrowl a démontré qu’il est possible de combiner précision et échelle en même temps.