pile·
보안·vercel-blogVercel Blog·

CVE-2026-23869 — Next.js App Router DoS 취약점 (CVSS 7.5)

Next.js의 App Router Server Function 엔드포인트에서 CVE-2026-23869(CVSS 7.5, 고위험)가 발견됐다. 특수 제작된 HTTP 요청을 역직렬화할 때 CPU가 과소비되는 DoS 취약점으로, Next.js 13.x~16.x 전 버전이 영향받는다. 즉시 패치 버전으로 업그레이드하는 것이 유일한 완전한 해결책이다.

핵심 포인트
  • CVE-2026-23869, CVSS 7.5 고위험. React Server Components의 App Router Server Function 역직렬화 경로에서 발생하는 DoS 취약점이다.
  • 공격 방식: 특수 제작된 HTTP 요청을 Server Function 엔드포인트에 전송하면 역직렬화 과정에서 CPU가 과소비돼 서비스 거부가 유발된다.
  • 영향 범위: Next.js 13.x, 14.x, 15.x, 16.x 전 버전 및 App Router 프레임워크를 사용하는 모든 패키지.
  • 패치 버전: 15.x → 15.5.15 이상, 16.x → 16.2.3 이상으로 즉시 업그레이드.
  • Vercel은 WAF 규칙을 자동 배포해 호스팅 프로젝트에 임시 보호를 제공하나, 이는 패치의 대체재가 아니다.
상세 정리
  • 취약점 유형: DoS(서비스 거부). CPU 소진으로 정상 서비스 처리를 방해한다.
  • 취약 경로: App Router Server Function 엔드포인트의 HTTP 요청 역직렬화 로직.
  • 공격 조건: 특수 제작된 HTTP 요청 1회로 트리거 가능. 인증 없이 공개 Server Function 엔드포인트에 접근 가능한 환경이라면 외부 공격 표면이 된다.
  • CVSS 7.5 구성: 원격 공격 가능(네트워크), 인증 불필요, 높은 가용성 영향 — 세 요소가 합쳐져 7.5 점수를 구성한다.
  • 임시 완화: Vercel WAF 규칙 자동 배포 — Vercel 호스팅 프로젝트는 추가 비용 없이 즉시 보호 적용. 단 WAF 우회 가능성이 있어 완전한 해결책이 아니다.
  • 필수 대응: Next.js 15.x → 15.5.15 이상, 16.x → 16.2.3 이상 업그레이드. 13.x·14.x 사용자는 패치 버전으로 메이저 업그레이드 필요.
  • 발표 일자: 2026년 4월 8일 Vercel Security 팀.
왜 읽나Next.js App Router를 프로덕션에 운영하는 팀이라면 즉시 버전 확인 후 패치를 적용해야 하는 긴급 보안 공지 요약.
vercel-blog
Vercel Blog 블로그
원문은 여기서 이어서 읽을 수 있어요
원문 읽기
읽음 (0)

이 글과 비슷한

  1. 보안·cloudflare-blogCloudflare Blog·

    사이트 소유자를 위한 새 AI 트래픽 제어 옵션

    Cloudflare가 Content Independence Day 1주년을 맞아 웹사이트 소유자가 AI 트래픽을 목적별로 세분화해 제어할 수 있는 새 시스템을 공개했다. 기존 "AI 봇 차단" 토글을 넘어 Search·Agent·Training 세 카테고리로 봇을 분류하고, robots.txt에 콘텐츠 재사용 범위를 선언하는 새 use= 시그널을 도입했다. 멀티퍼포스 봇은 가장 제한적인 카테고리 규칙이 적용되며, 2026년 9월 15일부터 광고 페이지에 새 기본값이 적용된다.

    #web-security#bot-management#robots-txt+2
  2. 보안·cloudflare-blogCloudflare Blog·

    Cloudflare 앱 생태계 OAuth 전면 개방 — Hydra 마이그레이션 내막

    Cloudflare가 OAuth 인프라를 Hydra 1.X에서 2.X로 업그레이드하면서 자체 관리 OAuth를 전체 개발자에게 개방한 과정을 다룬다. 스키마 변경으로 인한 인덱스 락 문제, 블루-그린 배포 전략, 전환 중 revocation 큐 설계, 전환 후 리프레시 토큰 버그까지 실제 운영 사고와 해결을 상세히 기록했다.

    #database-migration#zero-downtime#oauth+2
  3. 보안·cloudflare-blogCloudflare Blog·

    양자 내성 암호화 행정명령(EO 14409) — 2030 전환 기한과 조직 대응 방안

    2026년 6월 22일 트럼프 대통령이 서명한 행정명령 EO 14409는 미 연방 기관에 2030년까지 암호화(키 교환) 전환, 2031년까지 디지털 서명 전환을 요구한다. Cloudflare는 이미 자사 네트워크 브라우저 트래픽의 2/3 이상을 PQC(Post-Quantum Cryptography)로 보호 중이며, 이 글은 행정명령의 기술적 함의와 조직이 지금 당장 해야 할 일을 정리한다.

    #tls#cryptography#post-quantum-cryptography+2