⚠️ React Server Components의 치명적인 RCE 취약점 (CVSS 10.0)
Source: Dev.to
🚨 왜 이 취약점이 중요한가
React Server Components는 서버가 컴포넌트 트리를 클라이언트에 반환하는 하이브리드 렌더링 모델을 도입합니다. 공개된 취약점을 통해 악의적인 공격자는 이 프로토콜을 악용해 서버 측에서 실행되는 페이로드를 주입할 수 있으며, 그 결과:
- 서버 전체 장악
- 환경 변수 접근
- 오염된 응답을 통한 공급망 위험
- 인프라 내부에서의 횡방향 이동
이는 지금까지 발표된 RSC 관련 이슈 중 가장 심각한 사례 중 하나입니다.
⚠️ 영향을 받는 기술
React Server Components 패키지
| 상태 | 버전 |
|---|---|
| 취약 | 19.0, 19.1.0, 19.1.1, 19.2.0 |
| 패치됨 | 19.0.1, 19.1.2, 19.2.1+ |
App Router를 사용하는 Next.js
Next.js는 내부적으로 RSC를 사용하므로 /app 디렉터리를 사용할 경우 기본적으로 영향을 받습니다.
취약 버전
| Next.js 버전 |
|---|
| 15.x |
| 16.x (다양한 릴리스) |
패치된 버전
| 안전한 버전 |
|---|
| 15.0.5 |
| 15.1.9 |
| 15.2.6 |
| 15.3.6 |
| 15.4.8 |
| 15.5.7 |
| 16.0.7 |
🔧 즉시 수행해야 할 조치
React RSC 패키지를 안전한 버전 중 하나로 업그레이드하세요:
19.0.1,19.1.2,19.2.1또는 그 이후 버전.
위에 나열된 패치 버전으로 Next.js를 업그레이드하세요.
의존성을 업데이트한 후:
- 모든 영향을 받은 애플리케이션을 다시 빌드하고 재배포합니다.
- 취약한 버전으로 배포된 경우 비밀키/자격 증명을 교체합니다.
- (권장) 의심스러운 RSC 요청 패턴이 있는지 로그를 검토합니다.
🔍 프로젝트가 영향을 받는지 확인하는 방법
React 프로젝트의 경우
npm ls react-server react-server-dom-webpack또는 package.json / pnpm-lock.yaml 파일에서 위에 열거된 취약 버전을 확인합니다.
Next.js 프로젝트의 경우
npx next info다음 항목을 확인하세요:
- App Router(
/app디렉터리)를 사용하고 있는지 - 사용 중인 Next.js 버전이 취약 범위에 포함되는지
📌 적용 범위
이 권고는 다음에 적용됩니다:
- RSC를 사용하는 React 기반 프로젝트
- Next.js App Router를 사용하는 프로젝트
- RSC 프로토콜 트래픽을 처리하는 모든 백엔드
RSC를 사용하지 않는 전통적인 React 애플리케이션에는 영향이 없습니다.
🔥 최종 메모
이 취약점은 React의 서버‑사이드 인프라가 인증 없이 원격으로 악용될 수 있는 공격 벡터가 되며, 전체 서버 장악까지 가능한 드문 사례입니다.
RSC 또는 Next.js App Router를 사용하는 애플리케이션을 유지보수하고 있다면, 이 업데이트를 긴급하게 적용하십시오.
안전하게 지키고, 조기에 패치하세요.
React Team — “React Server Components의 중요한 보안 취약점 (CVE‑2025‑55182)”
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components