㈜소프트이천

최근 React Server Components(RSC) 환경에서 인증 없이 원격 코드 실행(Remote Code Execution, RCE)이 가능한 심각한 취약점이 공개되면서, 고객사의 서비스 안정성과 자산 보호를 위해 긴급 보안 조치가 필요한 상황이다. 본 취약점의 위험성과 대응 방안을 빠르게 정리해 핵심적으로 점검해야 할 사항을 살펴보자.

1. 개요
React 19 기반의 RSC 및 관련 서버 렌더링 환경에서 처리되는 RSC Flight 프로토콜의 역직렬화 과정에서 발생하는 취약점(CVE-2025-55182)이 공개됐다. 이 취약점은 인증 없이 악의적인 요청 한 번만으로 서버에서 임의 코드를 실행할 수 있는 원격 코드 실행 이슈로, 위험도가 가장 높은 CVSS 10.0 등급으로 분류된다.

React 기반 서버 렌더링 환경을 운영 중인 시스템은 즉시 업데이트 적용을 권고한다. 영향을 받는 대상을 정리하면 다음과 같다.

(1) 취약 패키지

react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack

(2) 영향 버전

19.0.0
19.1.0
19.1.1
19.2.0
※ React Client-only 프로젝트는 이번 취약점의 영향을 받지 않는다.

※ Next.js 및 RSC 기반 프레임워크는 CVE-2025-66478에 해당하므로 별도의 보안 업데이트가 필요하다.

2. 위험도 및 영향
공개 PoC는 아직 부분적으로 제한돼 있지만, 공격 난이도가 낮고 RSC 기반 서비스가 널리 사용되고 있어 실제 악용 가능성이 매우 높은 상황이다.

이에 따라 다음 패키지는 반드시 19.0.1 / 19.1.2 / 19.2.1 이상 버전으로 업그레이드할 것을 권장한다. 해당 버전 이상으로 업데이트하면 이번 취약점이 해결된다.

react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack

정식 업데이트 적용 전까지는 아래와 같은 임시 대응을 통해 추가 방어를 마련할 수 있다. 다만, 임시 대응은 완전한 해결책이 아니므로, 패치 업데이트 적용이 최우선이다.

RSC 엔드포인트 접근 제어(Network ACL, IP 기반 제한 등)
웹 방화벽(WAF)을 통한 비정상 RSC payload 탐지/차단 적용
서버 로그 모니터링 및 이상 트래픽 분석 강화
외부 노출된 RSC 경로의 접근 최소화

3. 고객사 조치 체크리스트
위의 조치 사항을 기반으로, 실제 운영 환경에서 고객사가 반드시 점검해야 할 항목을 다음과 같이 정리한다.

React Server DOM 관련 패키지 버전 확인
영향 버전 사용 시 즉시 패치 적용
Next.js 사용 시 CVE-2025-66478 패치 여부 추가 확인
WAF 또는 접근제어 기반 임시 보호 조치 적용
업데이트 이후 취약점 스캐닝 및 종속성 재점검

출처 : AhnLab