Next.js가 2026년 5월 보안 릴리즈를 통해 DoS, 미들웨어·프록시 우회, SSRF, 캐시 중독, XSS를 포함한 13개 보안 취약점을 한꺼번에 패치했다. Next.js 13.x부터 16.x까지와 react-server-dom 패키지 전 버전이 영향을 받으며, 완전한 완화는 패치 적용이 유일한 방법이다.
핵심 포인트- 총 13개 보안 공지. DoS 3건, 미들웨어·프록시 우회 5건, SSRF 1건, 캐시 중독 2건, XSS 2건으로 구성된다.
- CVE-2026-23870: React Server Components의 DoS 취약점. react-server-dom 패키지 19.0/19.1/19.2 전 계열이 영향받는다.
- Next.js 15.x → 15.5.18, 16.x → 16.2.6으로 즉시 업그레이드 필요. 13.x·14.x도 15.5.18 또는 16.2.6으로 업그레이드해야 한다.
- App Router 세그먼트 프리페치를 통한 인증 우회, Pages Router i18n 경로를 통한 프록시 권한 우회 등 미들웨어 레이어 취약점이 5건으로 가장 많다.
- "패칭만이 유일한 완전한 완화 방법(patching is the only complete mitigation)"이라고 명시됐다.
상세 정리- 릴리즈 규모: 단일 릴리즈에서 13개 보안 공지를 동시 패치한 대규모 보안 릴리즈로, 여러 공격 벡터가 한꺼번에 수정됐다.
- 미들웨어·프록시 우회 (5건): App Router 세그먼트 프리페치를 이용한 인증 우회, Pages Router i18n 경로를 통한 프록시 권한 우회, 동적 라우팅 매개변수 주입, 미들웨어 리다이렉트 캐시 중독이 포함된다.
- RSC DoS (CVE-2026-23870): React Server Components 처리 경로에서 서비스 거부가 가능한 취약점. react-server-dom-webpack, react-server-dom-esm 등 관련 패키지 전체가 영향받는다.
- 캐시 관련 취약점 (2건): RSC 응답 캐시 중독과 캐시 버스팅 충돌이 별도 분류됐다. 캐시 레이어가 새 공격 표면으로 부상했다.
- SSRF: WebSocket 업그레이드 요청 처리 과정에서 서버 측 요청 위조가 가능해 내부 네트워크 접근으로 이어질 수 있다.
- XSS (2건): CSP nonce를 사용하는 애플리케이션과 신뢰할 수 없는 입력 처리 경로에서 각각 발생한다.
- 영향 버전 및 패치: Next.js 15.x → 15.5.18, 16.x → 16.2.6. react-server-dom 19.0.x → 19.0.6, 19.1.x → 19.1.7, 19.2.x → 19.2.6.
- 13.x·14.x 처리: 별도 보안 패치 버전 없이 15.5.18 또는 16.2.6으로 메이저 업그레이드를 권고한다.
- 긴급도: 모든 영향받는 사용자는 즉시 업그레이드해야 하며 단계적 완화 방법은 존재하지 않는다.
왜 읽나Next.js를 프로덕션에 운영하는 팀이라면 즉시 버전 확인 후 패치를 적용해야 하는 긴급 보안 공지 요약.