자체 호스팅 중인 Next.js 애플리케이션에서 두 가지 DoS 취약점이 발견됐다. CVE-2025-59471은 Image Optimizer에서, CVE-2025-59472는 Partial Pre-Rendering(PPR) 재개 엔드포인트에서 메모리 소진을 유발할 수 있다. Vercel 플랫폼 호스팅 앱은 영향받지 않지만 자체 호스팅 환경에서는 즉시 패치가 필요하다.
핵심 포인트- CVE-2025-59471: `/_next/image` 엔드포인트가 외부 이미지를 메모리에 최대 크기 제한 없이 로드해 공격자가 허용된 도메인의 대용량 이미지로 메모리를 소진할 수 있다.
- CVE-2025-59472: PPR 최소 모드에서 재개 엔드포인트가 인증 없는 POST 요청을 처리 시 바인딩되지 않은 버퍼링/압축 해제로 메모리 소진을 허용한다.
- 두 취약점 모두 자체 호스팅에서만 영향 — Vercel 플랫폼 배포는 기존 보호 레이어로 차단된다.
- 수정 버전: Next.js 15.5.10 / 16.1.5 이상. 완화책으로 `remotePatterns` 제한, PPR/최소 모드 비활성화, 역프록시 요청 크기 제한 적용 가능.
상세 정리- CVE-2025-59471 범위: Next.js 10~15.5.10 미만, 16~16.1.5 미만. `images.remotePatterns` 설정으로 외부 이미지 최적화를 허용한 경우에만 영향.
- CVE-2025-59471 공격 경로: 허용된 `remotePatterns` 도메인에서 수백 MB 이미지를 가리키는 URL로 `/_next/image`를 반복 요청 → 서버 메모리 고갈 → OOM 크래시.
- CVE-2025-59471 완화: `remotePatterns`를 최소한의 신뢰 도메인만 허용하거나 외부 이미지 최적화 자체를 끔. 역프록시(nginx 등)에서 응답 버퍼 크기 제한.
- CVE-2025-59472 범위: Next.js 15~15.6.0-canary.61 미만, 16~16.1.5 미만. `experimental.ppr: true` + `output: 'standalone'` (최소 모드) 조합에서만 영향.
- CVE-2025-59472 공격 경로: PPR 재개 엔드포인트에 인증 없이 큰 POST 바디를 보내면 압축 해제/버퍼링이 무제한으로 진행되며 메모리 소진 유발.
- CVE-2025-59472 완화: PPR 비활성화 또는 최소 모드(standalone) 해제. 혹은 역프록시에서 요청 바디 크기 제한 적용.
- 패치 적용: `next` 패키지를 15.5.10 이상 또는 16.1.5 이상으로 업그레이드. 두 취약점 모두 동일 버전에서 수정됨.
왜 읽나Next.js를 자체 호스팅(self-hosted)으로 운영하는 팀이라면 즉시 영향 버전 여부를 확인하고 패치해야 하는 보안 필수 공지.