React 19 의 Server Components 구현에서 두 가지 보안 취약점이 발견되었다. App Router 엔드포인트를 노린 악의적 HTTP 요청으로 서버를 멈추거나(CVE-2025-55184, DoS), 서버 액션의 컴파일된 소스 코드를 추출(CVE-2025-55183, 소스 노출)할 수 있다. React 19.2.2 이상, Next.js 14.2.35/15.0.7/15.1.11 이상으로 즉시 업그레이드가 필요하다.
핵심 포인트- CVE-2025-55184 (높은 심각도): 특수 제작된 HTTP 요청이 App Router 엔드포인트에서 서버 무한 대기 + 과도한 CPU 소모를 유발해 DoS 상태를 만든다.
- CVE-2025-55183 (보통 심각도): 동일 경로로 서버 액션의 컴파일된 소스 코드를 외부에서 추출 가능, 비즈니스 로직 및 하드코딩된 시크릿 노출 위험.
- 영향 범위: react-server-dom-{parcel,webpack,turbopack} 19.0.0~19.2.1, Next.js 13.x~16.x 전반.
- 패치 버전: React 19.0.2/19.1.3/19.2.2, Next.js 14.2.35/15.0.7/15.1.11 이상.
- Vercel WAF 는 자동 완화를 배포했으나, 직접 인프라를 운영 중이라면 즉시 업그레이드가 필수다.
상세 정리- 취약점 발견 배경: RSC App Router 의 요청 처리 경로에서 두 CVE 가 동시에 보고됐으며, React 19.0.0~19.2.1 전 기간에 영향을 준다.
- CVE-2025-55184 공격 흐름: 공격자가 App Router 엔드포인트에 악의적으로 구성된 HTTP 요청을 보내면 서버 프로세스가 응답하지 못한 채 CPU 를 독점 소모하는 상태에 빠진다.
- CVE-2025-55183 공격 흐름: 특수 제작된 요청으로 서버 액션의 컴파일된 JS 소스를 API 응답처럼 반환하게 만드는 경로가 존재한다.
- 시크릿 노출 범위: 서버 액션 코드 자체가 노출되므로 코드 내 하드코딩된 시크릿은 직접 탈취 가능하다. 환경 변수로 분리된 시크릿은 이 취약점에 해당하지 않는다.
- 영향 패키지: react-server-dom-parcel, react-server-dom-webpack, react-server-dom-turbopack 의 19.0.0~19.2.1 릴리즈.
- 영향 프레임워크: Next.js 13.x~16.x 와 RSC 를 사용하는 모든 React 기반 구현체.
- 패치 릴리즈: React 19.0.2, 19.1.3, 19.2.2 / Next.js 14.2.35, 15.0.7, 15.1.11 및 이후 버전에서 수정됐다.
- Vercel 플랫폼 대응: Vercel WAF 가 자동 완화 패치를 배포해 Vercel 호스팅 앱은 기본 보호를 받지만, 공식 권고는 앱 자체 업그레이드를 대체하지 않는다.
왜 읽나React App Router 나 Next.js 13~15 를 운영 서비스에 쓰고 있다면 즉시 패치 버전 확인이 필요한 실무 보안 공지.