2025년 12월 3일, React의 치명적인 보안 취약점이 공개되었다.
"React2Shell"로 불리는 이 취약점(CVE-2025-55182)은 CVSS 만점인 10.0을 기록할 정도로 위험도가 극도로 높다.
React Server Components(RSC)를 사용하는 환경에서 인증 없이 원격 코드 실행(RCE)이 가능하다는 점에서, Next.js 등을 사용하는 운영자들의 즉각적인 대응이 요구된다.
본 글에서는 12월 12일 기준 확인된 취약점의 상세 내용과, 어제(11일) 추가로 발견된 연관 취약점까지 포함하여 대응 방안을 정리한다.
(공식 사이트에서 발췌한 내용을 기반으로 작성하였으나, 명확하지 않은 부분은 경험을 토대로 작성하였습니다. 이는 정확한 정보가 아닐 수 있음을 알려드립니다.)
참고 링크
광고 클릭은 큰 힘이 됩니다!
CVE-2025-55182 - GitHub Advisory Database
React Server Components are Vulnerable to RCE
github.com
KISA 보호나라&KrCERT/CC
KISA 보호나라&KrCERT/CC
www.boho.or.kr:443
React2Shell: CVSS 10점
로그인, 인증 절차 없이 서버내 임의코드 실행가능
개요
- CVE ID: CVE-2025-55182 (별칭: React2Shell)
- 심각도: Critical (CVSS 10.0)
- 유형: Unauthenticated Remote Code Execution (인증 없는 원격 코드 실행)
이 취약점은 공격자가 로그인이나 인증 과정을 거치지 않고도 서버에서 임의의 코드를 실행할 수 있게 한다. 이미 공격 코드(PoC)가 공개되었으며, 실제 환경(Wild)에서 자동화된 공격 시도가 다수 관측되고 있어 즉시 조치가 필요하다.
Flight 프로토콜과 역직렬화
React Server Components(RSC)는 서버와 클라이언트 간의 데이터 통신을 위해 "Flight"라는 독자적인 프로토콜을 사용한다.
이번 취약점은 이 프로토콜이 데이터를 역직렬화(Deserialization)하는 과정에서 입력값 검증이 미흡하여 발생했다.
공격자는 이를 악용해 조작된 악성 페이로드를 서버로 전송하고, 서버는 이를 처리하는 과정에서 공격자가 의도한 코드를 그대로 실행하게 된다. 성공 시 데이터 유출은 물론 랜섬웨어 설치 등 서버 제어권을 완전히 탈취당할 수 있다.
패키지별 취약 버전 및 해결 버전
"Next.js 사용자라면 지금 당장 버전을 확인해야 한다."주로 react-server-dom-* 패키지를 사용하는 프레임워크가 직접적인 영향을 받는다. 대표적으로 Next.js (App Router 사용 시)가 여기에 해당한다.
Next.js 환경에서는 이 취약점이 CVE-2025-66478로 알려지기도 했으나, 현재는 React2Shell로 통합되어 관리된다.
Next.js 15.x, 16.x 버전을 사용 중이라면 반드시 최신 패치 버전(예: 15.0.5 이상)으로 업데이트해야 한다.
| 패키지명 | 영향받는 버전 (Vulnerable) | 해결된 버전 (Fixed) |
|---|---|---|
| react-server-dom-webpack | 19.0.0 ~ 19.2.0 | 19.0.1, 19.1.2, 19.2.1 이상 |
| react-server-dom-parcel | 19.0.0 ~ 19.2.0 | 19.0.1, 19.1.2, 19.2.1 이상 |
| react-server-dom-turbopack | 19.0.0 ~ 19.2.0 | 19.0.1, 19.1.2, 19.2.1 이상 |
추가 발견된 취약점 (12월 11일 업데이트)
"패치 이후, 다시 발생한 취약점."
CVE-2025-55182 패치 이후, 보안 연구원들이 해당 패치를 우회하거나 연관된 추가 취약점을 발견하여 12월 11일 추가 권고가 발행되었다.
- CVE-2025-55183 (Medium): 소스 코드 노출 취약점.
- CVE-2025-55184 / CVE-2025-67779 (High): 서비스 거부(DoS) 취약점.
따라서 단순히 12월 3일자 패치만 적용해서는 안 되며, 위 문제들까지 모두 해결된 가장 최신 버전(19.0.3, 19.1.4, 19.2.3 등)으로 업그레이드하는 것이 안전하다.
1. 패키지 업데이트
package.json을 확인하여 React 및 관련 프레임워크(Next.js, Waku 등)를 최신 버전으로 업데이트한다.
# npm 사용 시
npm update react react-dom next
# yarn 사용 시
yarn upgrade react react-dom next2. 재배포
애플리케이션을 다시 빌드(Build)하고 프로덕션 환경에 재배포(Deploy)해 취약점이 해결된 버전을 적용시킨다.
중요
잘못된 정보나, 문의등은 댓글로 메일과 함께 적어주시면 감사하겠습니다.
'Kubernetes > 작은팁-짧은글' 카테고리의 다른 글
| Pause 컨테이너에 대한 나의 오해 (0) | 2026.01.25 |
|---|---|
| Statefulset - 장애 케이스 (1) | 2025.05.26 |
| 2025년 CKS - 합격 후기 (0) | 2025.04.22 |
| MacOS 터미널에서 터널링 하는 방법 (0) | 2025.04.01 |
| Open-WebUi Ollama API Key 발급방법 (0) | 2025.03.13 |