pile·
최신
  1. 보안·vercel-blogVercel Blog·

    CVE-2025-59471, 59472: 자체 호스팅 Next.js Image/PPR DoS 취약점

    자체 호스팅 중인 Next.js 애플리케이션에서 두 가지 DoS 취약점이 발견됐다. CVE-2025-59471은 Image Optimizer에서, CVE-2025-59472는 Partial Pre-Rendering(PPR) 재개 엔드포인트에서 메모리 소진을 유발할 수 있다. Vercel 플랫폼 호스팅 앱은 영향받지 않지만 자체 호스팅 환경에서는 즉시 패치가 필요하다.

    #nextjs#security#cve+1
  2. 보안·vercel-blogVercel Blog·

    Our $1 million hacker challenge for React2Shell

    React Server Components(RSC)에서 임의 코드 실행을 허용하는 CVE-2025-55182가 공개됐다. 심각도 10.0 만점의 이 취약점은 JavaScript의 `constructor` 프로퍼티를 React 렌더링 도중 코드 평가에 악용한다. Vercel은 WAF 방어 레이어를 배포해 공개 후 수 주 만에 600만 건 이상의 공격 시도를 차단했고, 독립적인 100만 달러 바운티 프로그램으로 20개의 고유 우회 기법을 발굴해 즉시 패치했다.

    #vulnerability#react-server-components#cve+2
  3. 보안·vercel-blogVercel Blog·

    React Server Components 보안 취약점 패치 — DoS 및 소스 코드 노출

    React 19 의 Server Components 구현에서 두 가지 보안 취약점이 발견되었다. App Router 엔드포인트를 노린 악의적 HTTP 요청으로 서버를 멈추거나(CVE-2025-55184, DoS), 서버 액션의 컴파일된 소스 코드를 추출(CVE-2025-55183, 소스 노출)할 수 있다. React 19.2.2 이상, Next.js 14.2.35/15.0.7/15.1.11 이상으로 즉시 업그레이드가 필요하다.

    #react#nextjs#cve+2
  4. 보안·vercel-blogVercel Blog·

    Shai-Hulud 2.0: npm 공급망 공격 — 개발자 계정 탈취 후 Bun 스텔스 로더 주입

    npm 패키지 개발자 계정 탈취를 통해 package.json 에 악성 코드를 주입하는 공급망 공격 Shai-Hulud 2.0 이 발생했다. 공격자는 Bun 런타임을 몰래 설치하고 악성 스크립트를 실행하는 "stealthy loader" 패턴을 사용했다. Vercel 내부 인프라는 영향을 받지 않았으나, 취약한 패키지를 참조한 일부 고객 빌드가 영향을 받았다.

    #supply-chain#cve#npm+2
  5. 보안·vercel-blogVercel Blog·

    CVE-2025-48985: Vercel AI SDK 파일 형식 검증 우회 취약점

    Vercel AI SDK에서 파일 형식 화이트리스트를 우회할 수 있는 입력 검증 취약점(CVE-2025-48985)이 공개됐다. 지원 URL과 미지원 URL을 혼합해 전달할 때 배열 인덱스 정렬 오류로 미지원 파일의 바이트 데이터가 지원 슬롯에 잘못 매핑되는 방식으로 콘텐츠 검증을 우회한다. 패치 버전은 v5.0.52, v6.0.0-beta.*이다.

    #cve#ai-sdk#input-validation+1
  6. 보안·vercel-blogVercel Blog·

    CVE-2025-52662: Nuxt DevTools XSS 취약점 — Path Traversal 결합 시 RCE

    Nuxt DevTools v2.6.4 이전 버전의 인증 페이지에서 DOM 기반 XSS 취약점(CVE-2025-52662)이 발견됐다. 오류 메시지를 innerHTML로 렌더링해 악성 입력이 HTML로 실행되며, WebSocket 핸들러의 경로 탐색(Path Traversal) 취약점과 결합하면 개발 환경에서 원격 코드 실행(RCE)까지 이어진다. 패치 버전은 Nuxt DevTools 2.6.4다.

    #cve#nuxt#xss+2
  7. 보안·vercel-blogVercel Blog·

    Next.js 미들웨어 캐시 포이즈닝 취약점 CVE-2025-49005

    Next.js App Router 15.3.0~15.3.2 및 Vercel CLI 41.4.1~42.2.0에서 미들웨어가 리라이트/리다이렉트를 수행할 때 캐시 버스팅 파라미터가 제거되면서 RSC 페이로드와 HTML 응답이 동일 캐시 키를 공유하는 캐시 포이즈닝 취약점이 발견됐다. Vercel 호스팅은 브라우저 캐시 수준에 그치지만 self-hosted + 외부 CDN 환경에서는 CDN 포이즈닝으로 확대될 수 있다.

    #nextjs#cve#cache-poisoning+2
  8. 보안·vercel-blogVercel Blog·

    React Router CVE-2025-43864/43865: 캐시 포이즈닝과 저장형 XSS 취약점 분석

    React Router 7.0.0–7.5.1과 이를 기반으로 한 Remix에서 HTTP 헤더를 통한 캐시 포이즈닝과 저장형 XSS 공격이 가능한 심각한 취약점 두 건(CVE-2025-43864, CVE-2025-43865)이 공개됐다. 공격자가 `X-React-Router-Spa-Mode` 및 `X-React-Router-Prerender-Data` 헤더를 조작하면 서버 응답을 변조해 캐시에 악성 콘텐츠를 주입할 수 있으며, 이후 모든 방문자가 피해를 입는다. Vercel은 자사 인프라의 방화벽 레이어에서 두 헤더를 자동 제거하고 CDN 캐시를 전면 초기화하는 방식으로 선제 대응했다.

    #security#cve#xss+2