최근 리액트 서버 컴포넌트(React Server Components, RSC)에서 원격 코드 실행(Remote Code Execution, RCE)과 서비스 거부(DoS)를 유발할 수 있는 심각한 취약점들이 발견되었습니다. 특히 CVE-2025-55182는 CVSS 10.0으로 평가된 ‘최고 심각도’ 취약점입니다.
 

1. CVE-2025-55182 (React2Shell)
- 심각도: CVSS 10.0 (최고 등급)
- 영향: 인증 없이 원격 코드 실행 가능 → 공격자가 서버를 완전히 장악할 수 있음.
- 원인: RSC의 Flight 프로토콜에서 페이로드를 디코딩하는 과정의 논리적 역직렬화 오류.
- 영향 범위: React Server Components를 지원하는 앱은 서버 함수 엔드포인트를 직접 사용하지 않아도 취약할 수 있음.
 

2. 추가 발견된 취약점들
- CVE-2025-55184, CVE-2025-67779
- 영향: 무한 루프를 유발해 서버를 다운시키는 서비스 거부(DoS) 공격 가능.
- 심각도: CVSS 7.5.
- CVE-2025-55183
- 영향: 서버의 소스 코드 유출 가능
 

3. Next.js 관련 취약점
- CVE-2025-66478
- React의 취약점이 Next.js App Router에도 전파됨.
- 동일하게 CVSS 10.0으로 평가.
- Next.js 팀은 npx fix-react2shell-next 패치를 배포.

4. 위험성과 대응
- 위험성: 공격자가 단 한 번의 악의적 요청으로 서버를 장악하거나 다운시킬 수 있어, 웹 애플리케이션과 클라우드 워크로드 전체가 위험에 노출됨.
- 대응 방법:
- React는 이미 **패치 버전(19.0.1, 19.1.2, 19.2.1)**을 배포.
- Next.js도 긴급 업데이트 도구 제공.
- 즉시 업그레이드 및 비밀 키 교체 권장.
- CISA는 해당 취약점을 Known Exploited Vulnerabilities Catalog에 등록, 실제 공격 사례가 보고됨
 

리액트 서버 컴포넌트 취약점은 단순한 버그가 아니라 대규모 보안 위협으로 평가됩니다. 업데이트 지연은 곧 서버 장악 위험으로 이어질 수 있으므로, React 및 Next.js를 사용하는 개발자는 반드시 최신 버전으로 패치해야 합니다.

제품명 영향받는 버전
react-server-dom-webpack 19.0 19.1.0~19.1.1 19.2.0
react-server-dom-parcel 19.0 19.1.0~19.1.1 19.2.0
react-server-dom-turbopack 19.0 19.1.0~19.1.1 19.2.0
Next.js 14.3.0-canary.77 이상 15.0.x 15.1.x 15.2.x 15.3.x 15.4.x 15.5.x 16.0.x

업데이트 사이트 

https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
https://nvd.nist.gov/vuln/detail/CVE-2025-55182

* React 또는 Next.js 애플리케이션을 해당 취약 버전으로 실행 중이라면 모두 위험에 노출됩니다.