pile·
보안·vercel-blogVercel Blog·

CVE-2026-23864: React Server Components DoS 취약점 요약

React Server Components의 Server Function 엔드포인트에서 DoS를 유발할 수 있는 고심각도 취약점이 CVE-2026-23864로 공개됐다. CVSS 7.5 수준으로 원격 코드 실행은 없지만 서버 충돌·OOM·과도한 CPU 사용을 일으킬 수 있으며 Next.js 13.x~16.x를 포함한 광범위한 React 에코시스템 프레임워크가 영향을 받는다.

핵심 포인트
  • Server Function 엔드포인트에 특수하게 조작된 HTTP 요청을 보내면 서버 충돌, 메모리 부족(OOM), 과도한 CPU 사용을 유발할 수 있다.
  • 영향 패키지: `react-server-dom-parcel`, `react-server-dom-webpack`, `react-server-dom-turbopack` (19.0.x, 19.1.x, 19.2.x 전체 버전).
  • Next.js 13.x~16.x, Vite, Parcel, React Router, RedwoodSDK, Waku 등 Server Components를 쓰는 프레임워크 전반이 영향받는다.
  • 패치 버전: React 19.0.4 / 19.1.5 / 19.2.4 및 Next.js 각 버전별 패치 — 즉시 업그레이드 권장.
  • Vercel WAF가 자동 보호를 제공하지만 WAF만 믿지 말고 패키지 업그레이드를 병행해야 한다.
상세 정리
  • 취약점 ID: CVE-2026-23864, CVSS 7.5 (High) — RCE는 없음, 가용성(Availability) 영향이 주.
  • 공격 벡터: 네트워크에서 특수하게 제작된 HTTP 요청을 Server Function 엔드포인트로 전송하는 방식 — 인증 없이도 가능한 것으로 보임.
  • 영향: 서버 프로세스 충돌(크래시), 메모리 부족 예외(OOM), 과도한 CPU 점유 — 서비스 중단(DoS) 가능.
  • 영향 패키지: `react-server-dom-webpack`, `react-server-dom-turbopack`, `react-server-dom-parcel` 세 패키지의 19.0.x, 19.1.x, 19.2.x 전 버전.
  • 영향 프레임워크: Next.js(13.x~16.x 모두), React Router, Waku, RedwoodSDK, Vite + RSC 플러그인, Parcel — React Server Components를 사용하는 모든 스택.
  • 수정 버전: React 19.0.4, 19.1.5, 19.2.4 각각의 서버 DOM 패키지가 패치됨. Next.js도 각 마이너 버전별 패치 릴리즈 제공.
  • Vercel WAF: Vercel에 배포된 앱은 WAF가 악성 요청을 자동 차단하는 레이어 제공. 단, WAF는 보조 방어선으로만 취급하고 패키지 업그레이드가 필수.
  • 대응 우선순위: `package.json` 또는 `pnpm-lock.yaml`에서 영향 패키지 버전 확인 → 패치 버전으로 업그레이드 → 배포 및 확인.
왜 읽나React Server Components나 Next.js App Router를 프로덕션에서 운영하는 모든 팀이 즉시 확인하고 패치해야 하는 보안 필수 공지.
vercel-blog
Vercel Blog 블로그
원문은 여기서 이어서 읽을 수 있어요
원문 읽기
읽음 (0)

이 글과 비슷한

  1. 보안·cloudflare-blogCloudflare Blog·

    사이트 소유자를 위한 새 AI 트래픽 제어 옵션

    Cloudflare가 Content Independence Day 1주년을 맞아 웹사이트 소유자가 AI 트래픽을 목적별로 세분화해 제어할 수 있는 새 시스템을 공개했다. 기존 "AI 봇 차단" 토글을 넘어 Search·Agent·Training 세 카테고리로 봇을 분류하고, robots.txt에 콘텐츠 재사용 범위를 선언하는 새 use= 시그널을 도입했다. 멀티퍼포스 봇은 가장 제한적인 카테고리 규칙이 적용되며, 2026년 9월 15일부터 광고 페이지에 새 기본값이 적용된다.

    #web-security#bot-management#robots-txt+2
  2. 보안·cloudflare-blogCloudflare Blog·

    Cloudflare 앱 생태계 OAuth 전면 개방 — Hydra 마이그레이션 내막

    Cloudflare가 OAuth 인프라를 Hydra 1.X에서 2.X로 업그레이드하면서 자체 관리 OAuth를 전체 개발자에게 개방한 과정을 다룬다. 스키마 변경으로 인한 인덱스 락 문제, 블루-그린 배포 전략, 전환 중 revocation 큐 설계, 전환 후 리프레시 토큰 버그까지 실제 운영 사고와 해결을 상세히 기록했다.

    #database-migration#zero-downtime#oauth+2
  3. 보안·cloudflare-blogCloudflare Blog·

    양자 내성 암호화 행정명령(EO 14409) — 2030 전환 기한과 조직 대응 방안

    2026년 6월 22일 트럼프 대통령이 서명한 행정명령 EO 14409는 미 연방 기관에 2030년까지 암호화(키 교환) 전환, 2031년까지 디지털 서명 전환을 요구한다. Cloudflare는 이미 자사 네트워크 브라우저 트래픽의 2/3 이상을 PQC(Post-Quantum Cryptography)로 보호 중이며, 이 글은 행정명령의 기술적 함의와 조직이 지금 당장 해야 할 일을 정리한다.

    #tls#cryptography#post-quantum-cryptography+2