🧠 React Server Components RCE 보안 취약점 대응 정리 (CVE-2025)
React Server Components(RSC)에서 인증 없이 서버 코드 실행이 가능한 치명적인 보안 취약점이 발견되었고,
Next.js를 포함한 여러 프레임워크에 영향을 미쳤습니다.
이번 이슈는 애플리케이션 코드 문제가 아니라, 프레임워크 레벨의 취약점이었으며 React / Next.js 버전 업그레이드를 통해서만 해결이 가능합니다.
1️⃣ 어떤 취약점인가?
React Server Components에서 사용하는 React Flight 프로토콜의 직렬화 / 역직렬화 과정에서 불안전한 데이터 처리가 존재했습니다.
- 공격자는 인증 없이 외부 요청만으로 서버에서 임의 고드 실행(RCE)이 가능
- 서버 권한 탈취 가능
🔹 위험성
RCE는 가장 심각한 보안 취약점 중 하나입니다.
클라이언트 → 서버 코드 실행 → 서버 장악
🔹 발생 가능한 피해
- 환경 변수 유출 (.env)
- 데이터베이스 접근
- 서버 파일 읽기/쓰기
- 추가 악성 코드 삽입
2️⃣ 영향을 받는 대상
다음 조건 중 하나라도 해당하면 취약점의 영향을 받을 가능성이 있습니다.
- Next.js 13 이상 (App Router 사용)
- React Server Components(RSC) 활성화
- SSR / Streaming SSR 환경
- 외부에서 접근 가능한 서버 환경
📌 정적 페이지라도 서버 런타임이 존재하면 영향 가능
3️⃣ 어떻게 발견되었나?
이 취약점은 Vercel을 통해 자동 보안 패치 PR 형태로 전달되었습니다.
해당 이슈는 공식적으로 다음과 같이 등록되었습니다.
- GitHub Security Advisory:
GHSA-9qr9-h5gf-34mp - React Advisory:
CVE-2025-55182 - Next.js Advisory:
CVE-2025-66478
👉 단순 경고가 아니라 공식 CVE로 등록된 크리티컬 이슈
4️⃣ 해결 방법
React / Next.js를 패치된 버전으로 업그레이드
- Vercel 자동 보안 PR 확인
- 변경된 React / Next.js 버전 검토
- 로컬 환경에서 빌드 및 런타임 테스트
- PR merge
- 프로덕션 재배포
📌 merge만 하고 배포하지 않으면 취약점은 여전히 존재