pile·
보안·vercel-blogVercel Blog·

CVE-2025-59471, 59472: 자체 호스팅 Next.js Image/PPR DoS 취약점

자체 호스팅 중인 Next.js 애플리케이션에서 두 가지 DoS 취약점이 발견됐다. CVE-2025-59471은 Image Optimizer에서, CVE-2025-59472는 Partial Pre-Rendering(PPR) 재개 엔드포인트에서 메모리 소진을 유발할 수 있다. Vercel 플랫폼 호스팅 앱은 영향받지 않지만 자체 호스팅 환경에서는 즉시 패치가 필요하다.

핵심 포인트
  • CVE-2025-59471: `/_next/image` 엔드포인트가 외부 이미지를 메모리에 최대 크기 제한 없이 로드해 공격자가 허용된 도메인의 대용량 이미지로 메모리를 소진할 수 있다.
  • CVE-2025-59472: PPR 최소 모드에서 재개 엔드포인트가 인증 없는 POST 요청을 처리 시 바인딩되지 않은 버퍼링/압축 해제로 메모리 소진을 허용한다.
  • 두 취약점 모두 자체 호스팅에서만 영향 — Vercel 플랫폼 배포는 기존 보호 레이어로 차단된다.
  • 수정 버전: Next.js 15.5.10 / 16.1.5 이상. 완화책으로 `remotePatterns` 제한, PPR/최소 모드 비활성화, 역프록시 요청 크기 제한 적용 가능.
상세 정리
  • CVE-2025-59471 범위: Next.js 10~15.5.10 미만, 16~16.1.5 미만. `images.remotePatterns` 설정으로 외부 이미지 최적화를 허용한 경우에만 영향.
  • CVE-2025-59471 공격 경로: 허용된 `remotePatterns` 도메인에서 수백 MB 이미지를 가리키는 URL로 `/_next/image`를 반복 요청 → 서버 메모리 고갈 → OOM 크래시.
  • CVE-2025-59471 완화: `remotePatterns`를 최소한의 신뢰 도메인만 허용하거나 외부 이미지 최적화 자체를 끔. 역프록시(nginx 등)에서 응답 버퍼 크기 제한.
  • CVE-2025-59472 범위: Next.js 15~15.6.0-canary.61 미만, 16~16.1.5 미만. `experimental.ppr: true` + `output: 'standalone'` (최소 모드) 조합에서만 영향.
  • CVE-2025-59472 공격 경로: PPR 재개 엔드포인트에 인증 없이 큰 POST 바디를 보내면 압축 해제/버퍼링이 무제한으로 진행되며 메모리 소진 유발.
  • CVE-2025-59472 완화: PPR 비활성화 또는 최소 모드(standalone) 해제. 혹은 역프록시에서 요청 바디 크기 제한 적용.
  • 패치 적용: `next` 패키지를 15.5.10 이상 또는 16.1.5 이상으로 업그레이드. 두 취약점 모두 동일 버전에서 수정됨.
왜 읽나Next.js를 자체 호스팅(self-hosted)으로 운영하는 팀이라면 즉시 영향 버전 여부를 확인하고 패치해야 하는 보안 필수 공지.
vercel-blog
Vercel Blog 블로그
원문은 여기서 이어서 읽을 수 있어요
원문 읽기
읽음 (0)

이 글과 비슷한

  1. 보안·cloudflare-blogCloudflare Blog·

    사이트 소유자를 위한 새 AI 트래픽 제어 옵션

    Cloudflare가 Content Independence Day 1주년을 맞아 웹사이트 소유자가 AI 트래픽을 목적별로 세분화해 제어할 수 있는 새 시스템을 공개했다. 기존 "AI 봇 차단" 토글을 넘어 Search·Agent·Training 세 카테고리로 봇을 분류하고, robots.txt에 콘텐츠 재사용 범위를 선언하는 새 use= 시그널을 도입했다. 멀티퍼포스 봇은 가장 제한적인 카테고리 규칙이 적용되며, 2026년 9월 15일부터 광고 페이지에 새 기본값이 적용된다.

    #web-security#bot-management#robots-txt+2
  2. 보안·cloudflare-blogCloudflare Blog·

    Cloudflare 앱 생태계 OAuth 전면 개방 — Hydra 마이그레이션 내막

    Cloudflare가 OAuth 인프라를 Hydra 1.X에서 2.X로 업그레이드하면서 자체 관리 OAuth를 전체 개발자에게 개방한 과정을 다룬다. 스키마 변경으로 인한 인덱스 락 문제, 블루-그린 배포 전략, 전환 중 revocation 큐 설계, 전환 후 리프레시 토큰 버그까지 실제 운영 사고와 해결을 상세히 기록했다.

    #database-migration#zero-downtime#oauth+2
  3. 보안·cloudflare-blogCloudflare Blog·

    양자 내성 암호화 행정명령(EO 14409) — 2030 전환 기한과 조직 대응 방안

    2026년 6월 22일 트럼프 대통령이 서명한 행정명령 EO 14409는 미 연방 기관에 2030년까지 암호화(키 교환) 전환, 2031년까지 디지털 서명 전환을 요구한다. Cloudflare는 이미 자사 네트워크 브라우저 트래픽의 2/3 이상을 PQC(Post-Quantum Cryptography)로 보호 중이며, 이 글은 행정명령의 기술적 함의와 조직이 지금 당장 해야 할 일을 정리한다.

    #tls#cryptography#post-quantum-cryptography+2