React Server Components 의 핵심 취약점 React2Shell(CVE-2025-55182)을 중심으로 연관 CVE 3건(CVE-2025-66478, CVE-2025-55184, CVE-2025-55183)을 종합한 보안 공지다. Next.js 14~16 전 버전에 영향을 주며, 패치 버전별 업그레이드 표와 npx fix-react2shell-next 자동 수정 도구를 제공한다.
핵심 포인트- React2Shell(CVE-2025-55182): React Server Components 에서 특수 제작된 요청으로 원격 코드 실행(RCE) 가능. 심각도 Critical.
- 연관 CVE: CVE-2025-66478(Next.js), CVE-2025-55184(DoS), CVE-2025-55183(소스 코드 노출) 3건이 후속 조사에서 추가 발견됐다.
- 영향 범위: Next.js 15.0.0~16.0.6, 14 canary 14.3.0-canary.76 이후.
- 패치 방법: npx fix-react2shell-next 자동화, Vercel Agent PR 생성, 또는 수동 package.json 업그레이드.
- 패치 후 조치: 환경변수와 시크릿 교체 권장 — 취약한 버전을 운영했다면 이미 침해됐을 가능성을 전제로 대응한다.
상세 정리- 취약점 본질: React 19 의 Server Components 구현이 untrusted input 을 처리하는 방식에 결함이 있어 특수 제작된 요청으로 RCE 가 발생한다.
- 연관 CVE 체계: 초기 React2Shell 발견 후 후속 조사에서 DoS(CVE-2025-55184)와 소스 코드 노출(CVE-2025-55183)이 추가 발견됐다.
- 영향 Next.js 버전: 15.0.0~16.0.6 전체, 14 canary 14.3.0-canary.77 이후. 14.x stable 은 안전하다.
- 자동 수정 도구: npx fix-react2shell-next 커맨드 한 줄로 패키지 업그레이드 자동화.
- Vercel Agent 활용: 프로젝트 설정과 GitHub 저장소를 분석해 패치 PR 을 자동 생성한다.
- WAF 보완: Vercel WAF 가 규칙을 자동 배포했으나 모든 공격 변형 차단 보장은 없으며 패치가 유일한 완전한 해결책이다.
- 버전별 패치 표: 15.0.x→15.0.5, 15.1.x→15.1.9, 15.2.x→15.2.6, 15.3.x→15.3.6, 15.4.x→15.4.8, 15.5.x→15.5.7, 16.0.x→16.0.10.
- 침해 대응: 취약한 버전을 운영했다면 환경변수와 시크릿을 모두 교체하는 것이 공식 권고 사항이다.
왜 읽나Next.js 를 사용하는 모든 팀이 패치 버전 확인과 시크릿 교체 여부를 즉시 검토해야 하는 Critical 등급 RCE 취약점의 종합 대응 가이드.