pile·
보안·vercel-blogVercel Blog·

React Server Components 보안 취약점 패치 — DoS 및 소스 코드 노출

React 19 의 Server Components 구현에서 두 가지 보안 취약점이 발견되었다. App Router 엔드포인트를 노린 악의적 HTTP 요청으로 서버를 멈추거나(CVE-2025-55184, DoS), 서버 액션의 컴파일된 소스 코드를 추출(CVE-2025-55183, 소스 노출)할 수 있다. React 19.2.2 이상, Next.js 14.2.35/15.0.7/15.1.11 이상으로 즉시 업그레이드가 필요하다.

핵심 포인트
  • CVE-2025-55184 (높은 심각도): 특수 제작된 HTTP 요청이 App Router 엔드포인트에서 서버 무한 대기 + 과도한 CPU 소모를 유발해 DoS 상태를 만든다.
  • CVE-2025-55183 (보통 심각도): 동일 경로로 서버 액션의 컴파일된 소스 코드를 외부에서 추출 가능, 비즈니스 로직 및 하드코딩된 시크릿 노출 위험.
  • 영향 범위: react-server-dom-{parcel,webpack,turbopack} 19.0.0~19.2.1, Next.js 13.x~16.x 전반.
  • 패치 버전: React 19.0.2/19.1.3/19.2.2, Next.js 14.2.35/15.0.7/15.1.11 이상.
  • Vercel WAF 는 자동 완화를 배포했으나, 직접 인프라를 운영 중이라면 즉시 업그레이드가 필수다.
상세 정리
  • 취약점 발견 배경: RSC App Router 의 요청 처리 경로에서 두 CVE 가 동시에 보고됐으며, React 19.0.0~19.2.1 전 기간에 영향을 준다.
  • CVE-2025-55184 공격 흐름: 공격자가 App Router 엔드포인트에 악의적으로 구성된 HTTP 요청을 보내면 서버 프로세스가 응답하지 못한 채 CPU 를 독점 소모하는 상태에 빠진다.
  • CVE-2025-55183 공격 흐름: 특수 제작된 요청으로 서버 액션의 컴파일된 JS 소스를 API 응답처럼 반환하게 만드는 경로가 존재한다.
  • 시크릿 노출 범위: 서버 액션 코드 자체가 노출되므로 코드 내 하드코딩된 시크릿은 직접 탈취 가능하다. 환경 변수로 분리된 시크릿은 이 취약점에 해당하지 않는다.
  • 영향 패키지: react-server-dom-parcel, react-server-dom-webpack, react-server-dom-turbopack 의 19.0.0~19.2.1 릴리즈.
  • 영향 프레임워크: Next.js 13.x~16.x 와 RSC 를 사용하는 모든 React 기반 구현체.
  • 패치 릴리즈: React 19.0.2, 19.1.3, 19.2.2 / Next.js 14.2.35, 15.0.7, 15.1.11 및 이후 버전에서 수정됐다.
  • Vercel 플랫폼 대응: Vercel WAF 가 자동 완화 패치를 배포해 Vercel 호스팅 앱은 기본 보호를 받지만, 공식 권고는 앱 자체 업그레이드를 대체하지 않는다.
왜 읽나React App Router 나 Next.js 13~15 를 운영 서비스에 쓰고 있다면 즉시 패치 버전 확인이 필요한 실무 보안 공지.
vercel-blog
Vercel Blog 블로그
원문은 여기서 이어서 읽을 수 있어요
원문 읽기
읽음 (0)

이 글과 비슷한

  1. 보안·cloudflare-blogCloudflare Blog·

    사이트 소유자를 위한 새 AI 트래픽 제어 옵션

    Cloudflare가 Content Independence Day 1주년을 맞아 웹사이트 소유자가 AI 트래픽을 목적별로 세분화해 제어할 수 있는 새 시스템을 공개했다. 기존 "AI 봇 차단" 토글을 넘어 Search·Agent·Training 세 카테고리로 봇을 분류하고, robots.txt에 콘텐츠 재사용 범위를 선언하는 새 use= 시그널을 도입했다. 멀티퍼포스 봇은 가장 제한적인 카테고리 규칙이 적용되며, 2026년 9월 15일부터 광고 페이지에 새 기본값이 적용된다.

    #web-security#bot-management#robots-txt+2
  2. 보안·cloudflare-blogCloudflare Blog·

    Cloudflare 앱 생태계 OAuth 전면 개방 — Hydra 마이그레이션 내막

    Cloudflare가 OAuth 인프라를 Hydra 1.X에서 2.X로 업그레이드하면서 자체 관리 OAuth를 전체 개발자에게 개방한 과정을 다룬다. 스키마 변경으로 인한 인덱스 락 문제, 블루-그린 배포 전략, 전환 중 revocation 큐 설계, 전환 후 리프레시 토큰 버그까지 실제 운영 사고와 해결을 상세히 기록했다.

    #database-migration#zero-downtime#oauth+2
  3. 보안·cloudflare-blogCloudflare Blog·

    양자 내성 암호화 행정명령(EO 14409) — 2030 전환 기한과 조직 대응 방안

    2026년 6월 22일 트럼프 대통령이 서명한 행정명령 EO 14409는 미 연방 기관에 2030년까지 암호화(키 교환) 전환, 2031년까지 디지털 서명 전환을 요구한다. Cloudflare는 이미 자사 네트워크 브라우저 트래픽의 2/3 이상을 PQC(Post-Quantum Cryptography)로 보호 중이며, 이 글은 행정명령의 기술적 함의와 조직이 지금 당장 해야 할 일을 정리한다.

    #tls#cryptography#post-quantum-cryptography+2