블로그
← 목록으로
개발2025년 12월 04일 02:59조회 40

Important Security Update for Next.js 15 & 16 | What is RCE? | Update NextJS right now! | RCE가 뭔가요? | NextJS 보안 이슈

Vercel, React Server Components에서 치명적 취약점 확인…Next.js 15~16 전 버전 긴급 업데이트 권고

A critical vulnerability in React Server Components (CVE-2025-55182) has been responsibly disclosed. It affects React 19 and frameworks that use it, including Next.js (CVE-2025-66478).

If you are using Next.js, every version between Next.js 15 and 16 is affected, and we recommend immediately updating to the latest Next.js versions containing the appropriate fixes (15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7).

If you are using another framework using Server Components, we also recommend immediately updating to the latest React versions containing the appropriate fixes (19.0.1, 19.1.2, and 19.2.1).

React·Next.js에서 원격 코드 실행 가능 취약점 확인…업데이트 필요성 높아져

React Server Components(RSC) 기반 환경에서 원격 코드 실행(Remote Code Execution, RCE)이 가능한 심각한 취약점이 보고되었다. 이 취약점은 React 측에서는 CVE-2025-55182, Next.js에서는 CVE-2025-66478로 분류되었으며, 서버 측에서 직렬화된 데이터를 처리하는 과정의 논리적 디직렬화 오류가 근본 원인으로 지목되었다. 공격자는 특수하게 조작된 요청을 전송하는 것만으로 인증 없이 서버에서 임의의 코드를 실행할 수 있는 것으로 확인되었다.

이번 취약점은 기본 설정으로 생성된 Next.js 애플리케이션에서도 재현이 가능한 수준으로, 개발자가 별도의 보안 설정을 하지 않았더라도 영향을 받을 수 있다는 점에서 위험도가 높다. 연구 결과에 따르면 실제 환경에서 공격 성공률도 극도로 높은 것으로 나타났다. 클라우드 환경 내에서 해당 취약점과 관련된 구성 요소를 사용하는 사례가 광범위하게 발견되면서 잠재적 영향 범위도 상당할 것으로 분석되고 있다.

취약점의 영향을 받는 React 패키지는 RSC 구현과 관련된 여러 모듈로, 특정 버전대(19.0.0~19.2.0)가 포함된다. Next.js의 경우 App Router 기반 구조를 사용하는 15.x 및 16.x 버전, 그리고 일부 canary 빌드가 영향을 받는 것으로 명시되었다. 다만 Edge Runtime 기반 환경, Pages Router 기반 애플리케이션, 그리고 Next.js 13.x 및 14.x 안정 버전은 이번 취약점의 영향을 받지 않는 것으로 확인되었다.

해당 문제에 대응하기 위해 React는 이미 패치 버전(19.0.1, 19.1.2, 19.2.1)을 배포했으며, Next.js는 15.0.5 이후의 다수 패치 버전을 통해 문제를 해결한 상태다. canary 릴리스를 사용하는 프로젝트의 경우 안정화된 14.x 버전으로 되돌리는 것도 공식적으로 권고되었다. RSC 기능을 지원하는 기타 생태계 도구나 프레임워크 또한 동일 취약점의 영향을 받을 가능성이 있어 최신 패치 적용이 요구된다.

이번 취약점은 인증 불필요, 사용자 상호작용 불필요, 네트워크 경유 공격 가능이라는 조건을 모두 충족해 CVSS 기준 최고 등급에 해당하며, 서버 완전 장악으로 이어질 수 있다는 점에서 프레임워크 전반에 대한 신속한 업데이트가 필수적이다. 개발자와 기업은 즉각적인 버전 점검 및 보안 패치 적용을 수행해야 하며, 잠재적 위협을 줄이기 위해 배포 환경 전반의 구성을 재검토할 필요가 있다.

출처

Next.js 공식 보안 공지: CVE-2025-66478 GitHub Security Advisory: GHSA-9qr9-h5gf-34mp CVE 공식 페이지: CVE-2025-55182