pile·
보안·vercel-blogVercel Blog·

React2Shell 취약점 종합 대응 가이드 — CVE-2025-55182 외 관련 CVE 3건

React Server Components 의 핵심 취약점 React2Shell(CVE-2025-55182)을 중심으로 연관 CVE 3건(CVE-2025-66478, CVE-2025-55184, CVE-2025-55183)을 종합한 보안 공지다. Next.js 14~16 전 버전에 영향을 주며, 패치 버전별 업그레이드 표와 npx fix-react2shell-next 자동 수정 도구를 제공한다.

핵심 포인트
  • React2Shell(CVE-2025-55182): React Server Components 에서 특수 제작된 요청으로 원격 코드 실행(RCE) 가능. 심각도 Critical.
  • 연관 CVE: CVE-2025-66478(Next.js), CVE-2025-55184(DoS), CVE-2025-55183(소스 코드 노출) 3건이 후속 조사에서 추가 발견됐다.
  • 영향 범위: Next.js 15.0.0~16.0.6, 14 canary 14.3.0-canary.76 이후.
  • 패치 방법: npx fix-react2shell-next 자동화, Vercel Agent PR 생성, 또는 수동 package.json 업그레이드.
  • 패치 후 조치: 환경변수와 시크릿 교체 권장 — 취약한 버전을 운영했다면 이미 침해됐을 가능성을 전제로 대응한다.
상세 정리
  • 취약점 본질: React 19 의 Server Components 구현이 untrusted input 을 처리하는 방식에 결함이 있어 특수 제작된 요청으로 RCE 가 발생한다.
  • 연관 CVE 체계: 초기 React2Shell 발견 후 후속 조사에서 DoS(CVE-2025-55184)와 소스 코드 노출(CVE-2025-55183)이 추가 발견됐다.
  • 영향 Next.js 버전: 15.0.0~16.0.6 전체, 14 canary 14.3.0-canary.77 이후. 14.x stable 은 안전하다.
  • 자동 수정 도구: npx fix-react2shell-next 커맨드 한 줄로 패키지 업그레이드 자동화.
  • Vercel Agent 활용: 프로젝트 설정과 GitHub 저장소를 분석해 패치 PR 을 자동 생성한다.
  • WAF 보완: Vercel WAF 가 규칙을 자동 배포했으나 모든 공격 변형 차단 보장은 없으며 패치가 유일한 완전한 해결책이다.
  • 버전별 패치 표: 15.0.x→15.0.5, 15.1.x→15.1.9, 15.2.x→15.2.6, 15.3.x→15.3.6, 15.4.x→15.4.8, 15.5.x→15.5.7, 16.0.x→16.0.10.
  • 침해 대응: 취약한 버전을 운영했다면 환경변수와 시크릿을 모두 교체하는 것이 공식 권고 사항이다.
왜 읽나Next.js 를 사용하는 모든 팀이 패치 버전 확인과 시크릿 교체 여부를 즉시 검토해야 하는 Critical 등급 RCE 취약점의 종합 대응 가이드.
vercel-blog
Vercel Blog 블로그
원문은 여기서 이어서 읽을 수 있어요
원문 읽기
읽음 (0)

이 글과 비슷한

  1. 보안·cloudflare-blogCloudflare Blog·

    사이트 소유자를 위한 새 AI 트래픽 제어 옵션

    Cloudflare가 Content Independence Day 1주년을 맞아 웹사이트 소유자가 AI 트래픽을 목적별로 세분화해 제어할 수 있는 새 시스템을 공개했다. 기존 "AI 봇 차단" 토글을 넘어 Search·Agent·Training 세 카테고리로 봇을 분류하고, robots.txt에 콘텐츠 재사용 범위를 선언하는 새 use= 시그널을 도입했다. 멀티퍼포스 봇은 가장 제한적인 카테고리 규칙이 적용되며, 2026년 9월 15일부터 광고 페이지에 새 기본값이 적용된다.

    #web-security#bot-management#robots-txt+2
  2. 보안·cloudflare-blogCloudflare Blog·

    Cloudflare 앱 생태계 OAuth 전면 개방 — Hydra 마이그레이션 내막

    Cloudflare가 OAuth 인프라를 Hydra 1.X에서 2.X로 업그레이드하면서 자체 관리 OAuth를 전체 개발자에게 개방한 과정을 다룬다. 스키마 변경으로 인한 인덱스 락 문제, 블루-그린 배포 전략, 전환 중 revocation 큐 설계, 전환 후 리프레시 토큰 버그까지 실제 운영 사고와 해결을 상세히 기록했다.

    #database-migration#zero-downtime#oauth+2
  3. 보안·cloudflare-blogCloudflare Blog·

    양자 내성 암호화 행정명령(EO 14409) — 2030 전환 기한과 조직 대응 방안

    2026년 6월 22일 트럼프 대통령이 서명한 행정명령 EO 14409는 미 연방 기관에 2030년까지 암호화(키 교환) 전환, 2031년까지 디지털 서명 전환을 요구한다. Cloudflare는 이미 자사 네트워크 브라우저 트래픽의 2/3 이상을 PQC(Post-Quantum Cryptography)로 보호 중이며, 이 글은 행정명령의 기술적 함의와 조직이 지금 당장 해야 할 일을 정리한다.

    #tls#cryptography#post-quantum-cryptography+2