2025년 11월 29일자로, React Server Component에 대해서 중대한 취약점이 발견되었습니다.[1]

CVSS 점수 10.0으로 평가된 이 취약점은 인증되지 않은 공격자가 특수하게 조작된 HTTP 요청을 서버 함수 엔드포인트로 전송하여 서버 측에서 임의의 코드를 실행할 수 있게 합니다.

현재 운영되는 애플리케이션에서 명시적으로 서버 함수를 구현하지 않더라도, React Server Component를 지원하는 프레임워크나 번들러를 사용하면 취약점에 노출될 수 있습니다.

영향을 받는 주요 패키지는 next, react-router, waku, @parcel/rsc, @vitejs/plugin-rsc, rwsdk 등 React Framework 나 관련된 Bundler는 모두 영향을 받을 수 있는 보안 취약점입니다.

취약점에 영향을 받는 주요 고객은 다음과 같습니다.[2]

• React Server Function 및 React Server Component 구성 요소가 포함된 React 19.x를 사용하는 고객

• App Router와 함께 Next.js 15-16, 14.3.0-canary.77 또는 최신 canary release 버전을 사용하는 고객

현재 해당 취약점을 악용하여 공격을 시도한 사례가 있는만큼 절대적인 조치가 필요합니다.[3]

AWS에서 조치한 임시 보안 설정

AWS에서는 WAF에 이러한 취약점을 막을 수 있는 WAF 규칙을 업데이트하였습니다. 다만 이러한 조치는 임시적인 보호 조치로, 이러한 보안 조치에 의지하지 않고 서비스에 대한 자체적인 보안 강화가 필요합니다.

스마일샤크에서 제안하는 권고 사항

스마일샤크에서는 취약점의 영향을 받는 고객들에게 다음과 같은 조치를 권고합니다.

• 해당되는 버전의 소프트웨어를 사용하는 고객에 대한 소프트웨어 업데이트

Critical Security Vulnerability in React Server Components – React

해당 문서를 참고하여 업데이트를 권장드립니다.

관련 문서

• [1]Critical Security Vulnerability in React Server Components – React

• [2]CVE-2025-55182: RCE in React Server Components

• [3]China-nexus cyber threat groups rapidly exploit React2Shell vulnerability (CVE-2025-55182) | Amazon Web Services

추가 자료

• https://www.cve.org/CVERecord?id=CVE-2025-55182