CDNetworks WAF, React의 치명적인 취약점 CVE-2025-55182로부터 선제적으로 보호

실행 요약

2025년 12월 3일 (EST), 중요한 보안 취약점 (CVE-2025-55182, CVE-2025-66478) 이 React 서버 컴포넌트(RSC)에서 발견되었으며, CVSS 점수 10.0으로 가장 높은 심각도 수준을 기록했습니다.

이에 대응하여 CDNetworks는 즉시 웹 애플리케이션 방화벽(WAF)에서 새로운 보호 규칙(규칙 번호 9625: React_Server_Components_rce)을 배포하여 이 취약점을 방어했습니다.

React 서버 컴포넌트를 사용 중인 경우, 즉시 다음과 같은 조치를 취할 것을 강력히 권장합니다:

1. 공식 React 블로그에 설명된 대로 안전한 버전의 React로 업그레이드하십시오.
2. 단기적으로 업그레이드가 불가능한 경우, 웹 애플리케이션 방화벽(WAF)을 구현하여 알려진 공격 서명에 기반한 공격 시도를 차단하십시오.

취약점 개요

이 취약점은 React Server Components 내의 Flight 프로토콜의 역직렬화 로직에서 발생합니다. 문제는 서버가 클라이언트에서 전송된 직렬화된 데이터의 구조나 내용을 충분히 검증하지 않기 때문에 발생합니다. 이로 인해 공격자는 악성 요청을 생성하여 서버가 이를 처리할 때 유해한 명령을 실행하게 할 수 있습니다. 이렇게 되면 보안 제한을 우회하고 원격 코드 실행(RCE)을 유발할 수 있습니다.

이 취약점의 악용은 매우 간단하며 인증이나 사용자 상호작용이 필요하지 않습니다. HTTP 요청을 전송할 수 있는 공격자라면 누구나 이 문제를 악용할 수 있습니다. 또한, React Server Components(RSC)는 기본 설정으로 취약하므로 공격 표면이 크게 확장되어 악성 공격자가 악용하기 쉬워집니다.

영향을 받는 React Server Components의 버전은 다음과 같습니다:

• react-server-dom-webpack
• react-server-dom-parcel
• react-server-dom-turbopack (버전 19.0.0부터 19.2.0까지)

누구에게 영향을 미치는가?

React는 전 세계에서 가장 널리 사용되는 프론트엔드 개발 프레임워크 중 하나로, 이 취약점은 다음과 같은 다양한 환경에 영향을 미칩니다:

• Next.js 버전 15.x 및 16.x (App Router 사용)
• Next.js 버전 14.3.0-canary.77 이상
• RSC 기능을 통합한 다른 프레임워크들, 예를 들어 Waku, RedwoodJS, Vite RSC Plugin 등

참고: 클라이언트 사이드 렌더링만 사용하는 애플리케이션이나 Next.js의 페이지 라우터(Pages Router)를 사용하는 애플리케이션은 영향을 받지 않습니다.

왜 이 취약점이 그렇게 위험한가?

React 서버 컴포넌트의 기본 구성으로 인해 많은 애플리케이션이 공격자가 추가적인 설정을 하지 않아도 취약해집니다. 이로 인해 공격 면이 크게 확대됩니다.

개념 증명(PoC) 코드가 이미 공개되어 있기 때문에 노출되는 시간 창이 빠르게 확장되고 있으며, RSC를 사용하는 조직은 즉시 시스템을 보호하기 위한 조치를 취해야 합니다.

우리의 WAF는 이미 이 취약점을 완화하기 위한 가상 패치를 공개했지만, 여전히 공개 접근이 가능한 애플리케이션을 중심으로 가능한 한 빨리 React를 최신 버전으로 업데이트할 것을 강력히 권장합니다.

추가적인 지침이나 지원이 필요하시면, 지원팀에 문의해 주세요.

CDNetworks 인텔리전스 팀은 상황을 지속적으로 모니터링하고 필요한 경우 업데이트를 제공합니다. 최신 뉴스와 업데이트는 소셜 미디어에서 확인하실 수 있습니다.