pulse.huny.dev

HunyDev
The Critical RSC Vulnerability That Shook the React Ecosystem

The Critical RSC Vulnerability That Shook the React Ecosystem

웹 개발 생태계를 뒤흔들 만한 사건이 하나 터졌다 — React (및 관련 생태계)와 Next.js 에 극심한 보안 취약점이 발견되었고, 즉시 대응이 필요한 상황이다.

Hun Jang
Hun Jang Dec 5, 2025

React·Next.js 심각한 RCE 취약점 패치 필요

⚠️ 어떤 일인가

  • React의 서버‑렌더링/서버 로직 지원 기능인 React Server Components (RSC)의 “Flight” 프로토콜 처리 과정에서 역직렬화(deserialization) 로직이 취약하게 구현돼 있었다. 이 문제는 인증 절차 없이도 원격에서 임의 코드를 실행할 수 있는 원격 코드 실행(RCE)을 허용한다. (React)
  • 취약점은 react-server-dom-webpack / react-server-dom-parcel / react-server-dom-turbopack 등, React 19 → react-server 기반 패키지 19.0.0, 19.1.x, 19.2.0에서 확인되었으며, 이에 기반한 프레임워크/번들러도 영향을 받는다. (React)
  • Next.js 역시 이 취약점을 공유하며, 해당 문제는 react-server 의 취약한 deserialization이 원인이므로, Next.js 고유 취약점이라기보다는 React 쪽 근본 결함을 통해 영향을 받는다. (Qualys ThreatPROTECT)

📉 위험성과 영향

  • CVSS 점수는 최대치인 10.0. 익명 공격자라도 단일 HTTP 요청만으로 서버를 완전히 장악할 수 있는 위험 수준이다. (React)
  • 이 문제는 단순히 “서버 함수(endpoint)를 따로 구현한 경우”에만 해당되는 것이 아니다. RSC를 지원하는 앱이라면 기본 설정만으로도 취약할 수 있다. (React)
  • 영향을 받는 것은 React / Next.js뿐만 아니라, 이 RSC 구현을 번들하거나 포함하는 프레임워크/번들러 전체: 예를 들어 Vite RSC 플러그인, Parcel RSC 플러그인, React Router RSC 프리뷰, RedwoodJS … 등 광범위하다. (Snyk)

✅ 당장 해야 할 일

  • React‑server 패키지들을 최대한 빨리 패치된 버전으로 업데이트할 것. 구체적으로는 react-server-dom‑webpack/parcel/turbopack 모두 19.0.0 → 19.0.1, 19.1.x → 19.1.2, 19.2.0 → 19.2.1 로 업그레이드 필요. (React)
  • Next.js 사용자라면, 현재 사용하는 버전이 취약한지 즉시 확인하고, 패치된 15.x / 16.x (또는 안정된 14.x) 라인으로 업데이트해야 한다. (Snyk)
  • 만약 RSC를 쓰지 않는 코드베이스라면 영향을 받지 않을 수 있지만, 사용하는 프레임워크 내부 의존성이나 패키지 잠금(lockfile)을 통해 취약한 RSC 구현이 포함되어 있을 가능성이 있으므로, 전체 의존성을 점검하는 것이 안전하다. (React)

추가 읽기 — React/Next.js 취약점 관련 주요 보도

Critical RCE Vulnerabilities Discovered in React & Next.js | Wiz Blog
React and Next.js are exposed to critical unauthenticated RCE via CVE-2025-55182 and CVE-2025-66478. Learn which versions are impacted and how to mitigate.
icon

https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182?utm_source=chatgpt.com

Critical RSC Bugs in React and Next.js Allow Unauthenticated Remote Code Execution
Critical RSC flaws in React and Next.js enable unauthenticated remote code execution; users should update to patched versions now.
icon

https://thehackernews.com/2025/12/critical-rsc-bugs-in-react-and-nextjs.html?utm_source=chatgpt.com

Severe React Server Components Flaw Exposes Millions of Apps and Websites - WinBuzzer
Meta and Vercel have released emergency patches for a CVSS 10.0 vulnerability in React Server Components that allows unauthenticated remote code execution.
icon

https://winbuzzer.com/2025/12/03/severe-react-server-components-flaw-exposes-millions-of-apps-and-websites-xcxwbn/?utm_source=chatgpt.com

You might also like

BlogPro logo
Made with BlogPro