09 décembre 2025 - Vulnérabilité des Composants Serveur React (ou React Server Components) 9 décembre 2025 15:23 Mise à jour BOC Group a identifié une vulnérabilité récente d’exécution de code à distance (Remote Code Execution – RCE) affectant les Composants Serveur React ou React Server Components (CVE-2025-55182). Cette vulnérabilité concerne les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 des packages npm suivants : react-server-dom-webpack react-server-dom-parcel react-server-dom-turbopack Elle affecte également Next.js utilisant l’App Router, pour les versions >=14.3.0-canary.77, >=15 et >=16. À la suite d’un audit interne approfondi, BOC Group confirme que ni ses produits logiciels ni ses solutions SaaS n’utilisent les packages NPM actuellement identifiés comme compromis dans le cadre de cette vulnérabilité liée à React Server Components. À ce jour, aucun élément ne permet d’indiquer que les produits, les chaînes de build ou les environnements clients exploités par BOC Group aient été impactés. À titre préventif, et conformément aux bonnes pratiques en matière de sécurité de la chaîne d’approvisionnement logicielle, des mesures supplémentaires ont été mises en œuvre. Ces mesures incluent la validation et la surveillance continue de nos Software Bill of Materials (SBOM) afin de détecter tout package impacté, ainsi qu’une vérification renforcée de l’intégrité de nos pipelines de build. Elles viennent compléter notre dispositif de sécurité existant, fondé sur le suivi continu des dépendances, la gestion proactive des vulnérabilités et des pratiques de développement sécurisé alignées sur les recommandations en vigueur. BOC Group demeure pleinement engagé à assurer un niveau de sécurité élevé et à informer ses parties prenantes de manière transparente des évolutions liées à la sécurité de la chaîne d’approvisionnement logicielle. Articles associés Comment BOC assure-t-il la sécurité des données de mon produit stockées dans le Cloud BOC (SaaS) ? Comment télécharger un SIP (Support Information Package) ? Liste blanche - Adresses IP publiques et privées Administration manuelle des utilisateurs Comment envoyer une demande de support ?