React 및 Next.js에서 다수의 보안 취약점 공개, 즉시 패치 권고

(developers.cloudflare.com)

React 팀과 Vercel이 React Server Components와 Next.js에 영향을 미치는 12건의 보안 취약점을 동시에 공개하며, 애플리케이션 즉시 업데이트를 강력 권고
서비스 거부(DoS), 미들웨어 우회, SSRF, XSS, 캐시 포이즈닝 등 다양한 공격 벡터가 포함되며 High 심각도 6건, Moderate 4건, Low 2건으로 분류
패치 버전으로 React 19.0.6/19.1.7/19.2.6과 Next.js 15.5.16/16.2.5가 제공되며, React 기반 서버 프레임워크도 함께 업데이트 필요
일부 취약점은 WAF 등 네트워크 레벨 방어로는 차단이 불가능하여, 애플리케이션 코드 자체의 패치가 필수
Server Components, Pages Router, Image Optimization API 등 Next.js의 광범위한 기능 영역에 걸쳐 취약점이 분포하여 영향 범위가 넓음

영향받는 패키지 및 패치 버전

React 관련 패치 대상: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack — 각각 19.0.6, 19.1.7, 19.2.6 버전으로 업데이트 필요
Next.js 패치 대상: 15.5.16 및 16.2.5
Vinext, OpenNext, TanStack Start 등 React 기반 서버 프레임워크 사용 시 해당 프레임워크도 최신 버전으로 함께 업데이트 필요

CVE-2026-23870 / GHSA-8h8q-6873-q5fj — React Server Components의 서비스 거부(DoS)
- React와 Next.js 양쪽 모두에 영향을 미치는 취약점
GHSA-267c-6grr-h53f — segment-prefetch 라우트를 통한 미들웨어 우회
GHSA-mg66-mrh9-m8jx — Cache Components의 연결 고갈(connection exhaustion)을 통한 서비스 거부
GHSA-492v-c6pp-mqqv — 동적 라우트 파라미터 주입을 통한 미들웨어 우회
- WAF 규칙으로 안전하게 차단 불가, 애플리케이션 동작을 깨뜨릴 수 있음
GHSA-c4j6-fc7j-m34r — WebSocket 업그레이드를 통한 SSRF(서버 측 요청 위조)
- WAF 규칙으로 안전하게 차단 불가
GHSA-36qx-fr4f-26g5 — Pages Router i18n의 미들웨어 우회

네트워크 레벨(WAF)로 차단 가능한 취약점은 DoS 계열 일부에 한정되며, 기존 React Server Component CVE 대응 규칙이 새로운 DoS 취약점에도 적용
미들웨어 우회, SSRF, XSS 등 다수의 High 심각도 취약점은 WAF로 안전하게 차단할 수 없어 애플리케이션 코드 패치가 유일한 대응 수단
커스텀 WAF 규칙으로 대응 가능한 항목도 있으나, 글로벌 managed 규칙으로 적용 시 애플리케이션 동작을 깨뜨릴 위험이 존재

Vinext: 아키텍처가 기본 Next.js와 달라 공개된 CVE에 취약하지 않음
- PPR resume 프로토콜 미구현, Pages Router data-route 엔드포인트 미노출, x-nextjs-data 등 내부 헤더를 요청 경계에서 제거
- 추가 방어로 vinext init 시 React 19.2.6 이상을 요구하도록 변경
OpenNext: 어댑터 자체는 직접 취약하지 않으나, 사용자가 애플리케이션의 Next.js 버전을 직접 업데이트해야 함
- 어댑터를 추가 강화한 새 버전 릴리스 완료