| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | 31 |
- cloud hsm 서명
- cloud hsm
- Vue.js
- 티스토리챌린지
- redux 기초
- git rebase
- vue기초
- cloud hsm 사용하기
- 스마트컨트렉트 예약어 함수이름 중복
- 러스트 기초 학습
- erc4337
- SBT표준
- 컨트렉트 동일한 함수이름 호출
- ethers websocket
- Vue
- 스마트컨트렉트 함수이름 중복 호출
- redux toolkit 설명
- erc4337 contract
- 스마트 컨트렉트 함수이름 중복
- 오블완
- ambiguous function description
- 러스트기초
- 체인의정석
- ethers type
- ethers v6
- rust 기초
- ethers typescript
- 머신러닝기초
- 계정추상화
- 러스트 기초
- Today
- Total
체인의정석
React, Next.js 취약점 (CVE-2025-55182, CVE-2025-66478) 본문
상황
현재 사용중인 내부 admin 백오피스는 react + next.js로 되어 있다. 사내망에서만 접근이 가능하도록 설정이 되어 있으며, 메타마스크 로그인 까지 통해야 요청을 날릴 수 있기 때문에 상대적으로 안전하지만 요즘 심각도가 10점 만점에 10점을 기록한 CVE-2025-55182, CVE-2025-66478 취약점이 이슈가 되어서 패치를 진행하였다.
해당 취약점은 서버사이드 랜더링 과정에서 공격자가 리엑트 서버의 주소를 알아서 접근이 가능하고, 명령어만 http요청을 실행이 되면 공격이 가능하기 때문에 10점짜리 취약점이라고 한다.
이런 부분을 고려했을때 admin페이지 같은 부분은 항상 내부망에서만 접근이 가능해야 하는것 같으며 react, next.js의 경우 비슷한 류의 공격포인트가 계속 생기기 때문에 주기적으로 공격포인트를 모니터링 해주어야 함을 느꼈다.
요약
React Server Components 프레임워크는 일반적으로 사용자 인터페이스를 구축하는 데 사용됩니다. 2025년 12월 3일, CVE.org는 이 취약점에 CVE-2025-55182를 할당했습니다. 공식 공통 취약점 등급 시스템(CVSS) 기본 심각도 점수는 10.0점 만점인 '심각(Critical)'으로 결정되었습니다.
- 취약한 버전: React 19.0, 19.1.0, 19.1.1, 19.2.0
- 패치된 버전: React 19.2.1
- 수정 사항(Fix): https://github.com/facebook/react/commit/7dc903cd29dac55efb4424853fd0442fef3a8700
- 공지: https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
Next.js는 React에 의존하는 웹 개발 프레임워크이며, 역시 사용자 인터페이스 구축에 널리 사용됩니다. (Next.js 취약점은 중복으로 표시되기 전 CVE-2025-66478로 참조되었습니다.)
- 취약한 버전: Next.js 15.x, Next.js 16.x, Next.js 14.3.0-canary.77 및 이후 canary 릴리스
- 패치된 버전은 여기에 나열되어 있습니다.
- 수정 사항(Fix): https://github.com/vercel/next.js/commit/6ef90ef49fd32171150b6f81d14708aa54cd07b2
- 공지: https://nextjs.org/blog/CVE-2025-66478
https://cloud.google.com/blog/ko/products/identity-security/responding-to-cve-2025-55182
CVE-2025-55182 보안 취약점, 당신의 React와 Next.js 프로젝트를 직접 겨냥합니다. | Google Cloud 블로그
CVE-2025-55182 취약점으로 인한 React 및 Next.js의 원격 코드 실행 위험을 최소화하려면 다음 권장 사항을 따르세요.
cloud.google.com
대처
해당 취약점으로부터 이슈를 해결하기 위해서
먼저 아래 링크를 통해서 react와 next.js를 해결된 버전으로 다시 깔았다.
=>https://nextjs.org/blog/CVE-2025-66478#required-action
Security Advisory: CVE-2025-66478
A critical vulnerability (CVE-2025-66478) has been identified in the React Server Components protocol. Users should upgrade to patched versions immediately.
nextjs.org
npm install next@15.0.5 # for 15.0.x
npm install next@15.1.9 # for 15.1.x
npm install next@15.2.6 # for 15.2.x
npm install next@15.3.6 # for 15.3.x
npm install next@15.4.8 # for 15.4.x
npm install next@15.5.7 # for 15.5.x
npm install next@16.0.7 # for 16.0.x
npm install next@15.6.0-canary.58 # for 15.x canary releases
npm install next@16.1.0-canary.12 # for 16.x canary releases이렇게 각 세부 버전별로 픽스된 버전이 존재한다.
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
Critical Security Vulnerability in React Server Components – React
The library for web and native user interfaces
react.dev
"A fix was introduced in versions 19.0.1, 19.1.2, and 19.2.1. If you are using any of the above packages please upgrade to any of the fixed versions immediately."
위의 두 링크로부터 알아낸 fix된 버전은 다음과 같다.
npm install next@15.1.9 react@19.0.1 react-dom@19.0.1해당 버전들과 같이 가장 인접한 fix된 버전을 설치하여 충돌이 낮지 않게 해주면 해결이 가능하다.
참고
자세한 내용의 경우 아래 영상에 잘 나와있다.
공격 포인트에 대해서 aws에서는 waf 규칙을 강화하였고 facebook은 react에 유효성 체크 로직을 추가하였다. 따라서 업데이트 된 버전을 통해서 해당 공격포인트를 막는 작업을 진행하였다.
'개발 > frontend' 카테고리의 다른 글
| 웹 서비스에서 Content-Security-Policy (CSP), Referer Policy 처리를 통한 보안 강화 (1) | 2026.01.05 |
|---|---|
| React) 재랜더링과 메모이제이션 Memo, useMemo & useEffect (0) | 2025.09.25 |
| Ts에서 export가 하나도 정의되어 있지 않은 경우 (모듈 vs 파일) (0) | 2025.08.20 |
| Indexed DB & 프론트엔드 (ts) (4) | 2025.07.17 |
| Redux와 Thunk, CreateAsyncThunk (0) | 2025.07.10 |