React 및 Next.js에서 다수의 보안 취약점 공개, 즉시 패치 권고

 (developers.cloudflare.com)
6P by GN⁺ 11시간전 | ★ favorite | 댓글 5개
  • React 팀과 Vercel이 React Server Components와 Next.js에 영향을 미치는 12건의 보안 취약점을 동시에 공개하며, 애플리케이션 즉시 업데이트를 강력 권고
  • 서비스 거부(DoS), 미들웨어 우회, SSRF, XSS, 캐시 포이즈닝 등 다양한 공격 벡터가 포함되며 High 심각도 6건, Moderate 4건, Low 2건으로 분류
  • 패치 버전으로 React 19.0.6/19.1.7/19.2.6과 Next.js 15.5.16/16.2.5가 제공되며, React 기반 서버 프레임워크도 함께 업데이트 필요
  • 일부 취약점은 WAF 등 네트워크 레벨 방어로는 차단이 불가능하여, 애플리케이션 코드 자체의 패치가 필수
  • Server Components, Pages Router, Image Optimization API 등 Next.js의 광범위한 기능 영역에 걸쳐 취약점이 분포하여 영향 범위가 넓음

영향받는 패키지 및 패치 버전

  • React 관련 패치 대상: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack — 각각 19.0.6, 19.1.7, 19.2.6 버전으로 업데이트 필요
  • Next.js 패치 대상: 15.5.1616.2.5
  • Vinext, OpenNext, TanStack Start 등 React 기반 서버 프레임워크 사용 시 해당 프레임워크도 최신 버전으로 함께 업데이트 필요

High 심각도 취약점 (6건)

  • CVE-2026-23870 / GHSA-8h8q-6873-q5fj — React Server Components의 서비스 거부(DoS)
    • React와 Next.js 양쪽 모두에 영향을 미치는 취약점
  • GHSA-267c-6grr-h53fsegment-prefetch 라우트를 통한 미들웨어 우회
  • GHSA-mg66-mrh9-m8jxCache Components의 연결 고갈(connection exhaustion)을 통한 서비스 거부
  • GHSA-492v-c6pp-mqqv — 동적 라우트 파라미터 주입을 통한 미들웨어 우회
    • WAF 규칙으로 안전하게 차단 불가, 애플리케이션 동작을 깨뜨릴 수 있음
  • GHSA-c4j6-fc7j-m34rWebSocket 업그레이드를 통한 SSRF(서버 측 요청 위조)
    • WAF 규칙으로 안전하게 차단 불가
  • GHSA-36qx-fr4f-26g5Pages Router i18n의 미들웨어 우회

Moderate 심각도 취약점 (4건)

  • GHSA-ffhc-5mcf-pf4qCSP nonce를 통한 XSS
  • GHSA-gx5p-jg67-6x7hbeforeInteractive 스크립트의 XSS
  • GHSA-h64f-5h5j-jqjhImage Optimization API의 서비스 거부
  • GHSA-wfc6-r584-vfw7RSC 응답의 캐시 포이즈닝

Low 심각도 취약점 (2건)

  • GHSA-vfv6-92ff-j949 — RSC 캐시 버스팅 충돌을 통한 캐시 포이즈닝
  • GHSA-3g8h-86w9-wvmq미들웨어 리다이렉트 캐시 포이즈닝

WAF 차단 가능 여부

  • 네트워크 레벨(WAF)로 차단 가능한 취약점은 DoS 계열 일부에 한정되며, 기존 React Server Component CVE 대응 규칙이 새로운 DoS 취약점에도 적용
  • 미들웨어 우회, SSRF, XSS 등 다수의 High 심각도 취약점은 WAF로 안전하게 차단할 수 없어 애플리케이션 코드 패치가 유일한 대응 수단
  • 커스텀 WAF 규칙으로 대응 가능한 항목도 있으나, 글로벌 managed 규칙으로 적용 시 애플리케이션 동작을 깨뜨릴 위험이 존재

프레임워크 어댑터별 영향

  • Vinext: 아키텍처가 기본 Next.js와 달라 공개된 CVE에 취약하지 않음
    • PPR resume 프로토콜 미구현, Pages Router data-route 엔드포인트 미노출, x-nextjs-data 등 내부 헤더를 요청 경계에서 제거
    • 추가 방어로 vinext init 시 React 19.2.6 이상을 요구하도록 변경
  • OpenNext: 어댑터 자체는 직접 취약하지 않으나, 사용자가 애플리케이션의 Next.js 버전을 직접 업데이트해야 함
    • 어댑터를 추가 강화한 새 버전 릴리스 완료

함께 보면 좋은 글 β

xguru 5시간전  [-]

Next.js 는 최근에도 업데이트 안한 채로 운영하는 서버들에 악성코드 심겨진 경우가 꽤 있었어서, 빨리 빨리 업데이트 하는게 좋습니다.

글에선 Next.js → 15.5.16 / 16.2.5 라고 하는데, 오늘 현재 16.2.6이 다시 릴리즈 되었으니 반영해서 테스트 해보시고 업해두세요

답변달기
click 6시간전  [-]

nextjs 랑 RSC 장애 패치해주다가 cloudflare 장애 났던 적도 있죠 Cloudflare 2025년 12월 5일 장애
nuxt, sveltekit이나 solidstart 등의 다른 SSR 프레임워크도 완전히 자유로운 건 아닌데 nextjs가 독보적으로 구멍이 많아보이긴 해요

답변달기
savvykang 6시간전  [-]

이젠 OWASP Top 10 도 재발명하네요 대단합니다. 다음은 next 전문 보안 스타트업 나오고 투자받을 차례인가요

답변달기
carnoxen 7시간전  [-]

아니 react2shell도 터지더니 또...!

답변달기
greekr4 8시간전  [-]

next가 최근 많이 터지는 느낌이네요

답변달기