pile·
보안·vercel-blogVercel Blog·

Next.js 정적 페이지 캐시 포이즈닝 취약점 CVE-2025-49826

Next.js 15.1.0~15.1.7 버전에서 ISR(증분 정적 재생성) 사용 시 HTTP 204 빈 응답이 정적 페이지 캐시에 잘못 저장되어 이후 모든 요청에 빈 페이지가 서빙되는 캐시 포이즈닝 취약점이 발견됐다. CDN이 204 응답을 캐시하도록 설정된 self-hosted 환경에서만 발동하며, Vercel 호스팅은 영향 없다.

핵심 포인트
  • 영향 버전: Next.js 15.1.0 이상 15.1.8 미만. Vercel 관리 호스팅 환경은 무관.
  • 발동 조건: ① 영향 범위 버전 실행 ② ISR 캐시 재검증 활성화(next start/standalone) ③ CDN이 204 응답을 캐시하도록 구성.
  • 공격 결과: 204 응답이 정적 페이지 캐시에 저장되어 이후 모든 사용자에게 빈 응답이 반환됨.
  • 수정: Next.js 15.1.8 이상으로 업그레이드. 204 응답 생성 코드 경로 제거 + 공유 응답 객체 race condition 수정.
  • 발견자: Allam Rachid(zhero), Allam Yasser(inzo_) 책임 공시.
상세 정리
  • 취약점 발생 경로: ISR 재검증 과정에서 Next.js가 204 응답을 내부적으로 생성하고, 이 응답이 정적 페이지 캐시에 잘못 저장됨.
  • CDN 조건: CDN이 204 응답을 캐시하는 설정일 때만 외부 영향 발생. CDN 미사용 또는 204 비캐시 설정이면 내부 캐시 문제만.
  • Vercel 관리 환경: 영향 없음. Vercel 내부 인프라가 이 코드 경로를 통과하지 않음.
  • self-hosted 환경 위험: CDN과 함께 ISR을 사용하는 자체 호스팅 서버가 주요 타깃.
  • 수정 상세: 204 응답을 생성하는 코드 경로 제거, Next.js 응답 캐시의 공유 응답 객체 의존 race condition 추가 수정.
  • 공개 일자: 2025-07-03.
왜 읽나Next.js 15.1.x를 ISR + CDN 환경에서 self-hosted로 운영 중이라면 즉시 15.1.8 이상으로 업그레이드해야 한다.
vercel-blog
Vercel Blog 블로그
원문은 여기서 이어서 읽을 수 있어요
원문 읽기
읽음 (0)

이 글과 비슷한

  1. 보안·cloudflare-blogCloudflare Blog·

    사이트 소유자를 위한 새 AI 트래픽 제어 옵션

    Cloudflare가 Content Independence Day 1주년을 맞아 웹사이트 소유자가 AI 트래픽을 목적별로 세분화해 제어할 수 있는 새 시스템을 공개했다. 기존 "AI 봇 차단" 토글을 넘어 Search·Agent·Training 세 카테고리로 봇을 분류하고, robots.txt에 콘텐츠 재사용 범위를 선언하는 새 use= 시그널을 도입했다. 멀티퍼포스 봇은 가장 제한적인 카테고리 규칙이 적용되며, 2026년 9월 15일부터 광고 페이지에 새 기본값이 적용된다.

    #web-security#bot-management#robots-txt+2
  2. 보안·cloudflare-blogCloudflare Blog·

    Cloudflare 앱 생태계 OAuth 전면 개방 — Hydra 마이그레이션 내막

    Cloudflare가 OAuth 인프라를 Hydra 1.X에서 2.X로 업그레이드하면서 자체 관리 OAuth를 전체 개발자에게 개방한 과정을 다룬다. 스키마 변경으로 인한 인덱스 락 문제, 블루-그린 배포 전략, 전환 중 revocation 큐 설계, 전환 후 리프레시 토큰 버그까지 실제 운영 사고와 해결을 상세히 기록했다.

    #database-migration#zero-downtime#oauth+2
  3. 보안·cloudflare-blogCloudflare Blog·

    양자 내성 암호화 행정명령(EO 14409) — 2030 전환 기한과 조직 대응 방안

    2026년 6월 22일 트럼프 대통령이 서명한 행정명령 EO 14409는 미 연방 기관에 2030년까지 암호화(키 교환) 전환, 2031년까지 디지털 서명 전환을 요구한다. Cloudflare는 이미 자사 네트워크 브라우저 트래픽의 2/3 이상을 PQC(Post-Quantum Cryptography)로 보호 중이며, 이 글은 행정명령의 기술적 함의와 조직이 지금 당장 해야 할 일을 정리한다.

    #tls#cryptography#post-quantum-cryptography+2