CVE-2025-55182 / React2shell

Chaque année apporte son lot de failles de sécurité. Nous nous sommes bien amusés avec
Fortinet, mais la CVE-2025-55182 et React appartiennent à une catégorie à part et ont
constitué un premier cadeau de Noël pour toutes les équipes de sécurité dans le monde
entier.
En quelques heures après la divulgation initiale, la vulnérabilité avait déjà enflammé les
réseaux sociaux. Security Twitter débordait de captures d’écran, de réactions à chaud, d’«
analyseurs instantanés » et memes de memes. À la mi-journée, des scanners en ligne
étaient apparus de nulle part, et pour la toute première fois, nous avons même vu des
extensions de navigateur créées spécifiquement pour détecter une CVE fraîchement
annoncée (https://x.com/securityshell/status/1996976033069670548?s=20).
Cela en dit long sur la frénésie autour de cette vulnérabilité.
Pendant ce temps, les articles et communiqués de presse se sont multipliés, et les solutions
EASM se sont empressées d’expliquer à leurs clients s’ils étaient à risque.
Résultat : une vague d’informations contradictoires, de suppositions et d’alertes bruyantes.

Chez Patrowl, nous avons emprunté une voie différente. Au lieu d’amplifier le bruit, nous
nous sommes concentrés sur la compréhension de la vulnérabilité et sur la création d’une
méthode de détection fiable et testable.
Le jour où les premiers détails techniques sont devenus publics, nous avons développé et
déployé un module d’exploitation spécifique sur toute notre plateforme.
Pas un vérificateur de version.
Pas un détecteur de motifs.
Un véritable test contrôlé d’exploitabilité.
Grâce à notre automatisation, nous avons pu analyser rapidement tous les actifs exposés de
nos clients avec un haut niveau de précision. Une fois déployé sur les surfaces d’attaque de
nos clients, la situation est devenue beaucoup plus claire :

• Seule une très petite fraction des déploiements était exploitable. Comme React est
  déjà une technologie détectée par nos contrôles personnalisés, cibler le composant
  vulnérable était beaucoup plus facile et rapide.

• 98 % des systèmes vulnérables détectés par Patrowl ont été corrigés le jour
  même, grâce à des rapports clairs et sans ambiguïté.

• Pas d’avalanche de faux positifs, pas de suppositions : seulement des expositions
  vérifiées.
  
  Alors que le reste de l’écosystème peinait à interpréter la vulnérabilité, les clients de Patrowl
  savaient exactement où ils en étaient dès le jour même.

Dans les jours qui ont suivi, nous avons été contactés par des entreprises auxquelles on
avait indiqué, parfois avec des formulations alarmantes, qu’elles étaient exposées à la
CVE-2025-55182. Ces alertes provenaient de divers fournisseurs EASM s’appuyant sur des

méthodes d’empreinte automatisée. Dans tous les cas, la logique derrière l’alerte était la
même : « Votre version de React est X, donc vous pourriez être vulnérable. »
Après avoir passé en revue manuellement toutes ces alertes avec les organisations
concernées, la conclusion était claire : 100 % des expositions signalées étaient des faux
positifs. Aucune vulnérabilité réelle parmi elles, mais beaucoup de temps perdu pour tout le
monde

La CVE-2025-55182 sera retenue non seulement pour la vulnérabilité elle-même, mais aussi
pour la confusion qu’elle a générée. Elle a mis en lumière un problème plus profond : de
nombreux outils EASM s’appuient encore fortement sur des indicateurs superficiels,
ce qui entraîne des vagues massives de faux positifs chaque fois qu’une vulnérabilité devient
virale en ligne. Cela empêche les entreprises de se concentrer sur des problèmes concrets
sur des surfaces d’attaque parfois énormes, réduisant leur efficacité et leur focus.
L’approche de Patrowl a démontré qu’il est possible de combiner précision et échelle en
même temps.