React Server Components 의 Critical 취약점 CVE-2025-55182 의 기술 세부사항을 정리한 글이다. React 19 의 Server DOM 패키지들이 untrusted input 을 처리하는 방식의 결함으로 RCE 가 발생하며, Next.js 외에도 Vite, Parcel, React Router, RedwoodSDK, Waku 등 RSC 를 사용하는 광범위한 프레임워크가 영향을 받는다.
핵심 포인트- 취약점 메커니즘: react-server-dom-parcel/webpack/turbopack 이 untrusted input 을 처리하는 경로에서 특수 제작된 요청으로 서버 측 RCE 가 발생한다.
- 영향 React 버전: 19.0.0, 19.1.0, 19.1.1, 19.2.0 의 세 가지 react-server-dom 패키지 전체.
- Next.js 외 프레임워크: Vite, Parcel, React Router, RedwoodSDK, Waku 등 RSC 를 직접 사용하는 모든 프레임워크가 영향권에 있다.
- 패치: React 19.0.1/19.1.2/19.2.1, Next.js 각 마이너 버전별 패치 버전으로 즉시 업그레이드 필수.
상세 정리- 취약점 메커니즘: React Server Components 구현이 attacker 가 제어하는 untrusted input 을 서버 실행 컨텍스트와 함께 처리하는 경로가 있어 특수 제작된 요청으로 RCE 를 유도할 수 있다.
- 영향 패키지: react-server-dom-parcel, react-server-dom-webpack, react-server-dom-turbopack 의 19.0.0/19.1.0/19.1.1/19.2.0.
- Next.js 영향 범위: 14.3.0-canary.77 이후 canary, 15.x 전체, 16.x 전체. 14.x stable 최신은 안전하다.
- 광범위한 프레임워크 영향: Next.js 에 국한되지 않고 Vite, Parcel, React Router, RedwoodSDK, Waku 등 RSC 를 사용하는 모든 프레임워크가 대상이다.
- React 패치 버전: 19.0.1, 19.1.2, 19.2.1.
- Next.js 패치 버전: 15.0.5/15.1.9/15.2.6/15.3.6/15.4.8/15.5.7/16.0.7. 14 canary 는 14.x stable 최신으로 다운그레이드.
- Vercel WAF: 자동 보호를 배포했으나 모든 공격 변형을 막는다는 보장은 없어 패치가 필수다.
왜 읽나Next.js 뿐 아니라 Vite/Parcel/React Router 등 다양한 스택에서 RSC 를 직접 사용 중인 팀이 취약점 노출 여부를 확인하고 즉시 패치 대상을 파악하는 데 유용하다.