낮은언덕 (115.♡.82.124)
2026년 5월 8일 PM 06:25
https://news.hada.io/topic?id=29283
React 팀과 Vercel이 React Server Components와 Next.js에 영향을 미치는 12건의 보안 취약점을 동시에 공개하며, 애플리케이션 즉시 업데이트를 강력 권고
서비스 거부(DoS), 미들웨어 우회, SSRF, XSS, 캐시 포이즈닝 등 다양한 공격 벡터가 포함되며 High 심각도 6건, Moderate 4건, Low 2건으로 분류
패치 버전으로 React
19.0.6/19.1.7/19.2.6과 Next.js15.5.16/16.2.5가 제공되며, React 기반 서버 프레임워크도 함께 업데이트 필요일부 취약점은 WAF 등 네트워크 레벨 방어로는 차단이 불가능하여, 애플리케이션 코드 자체의 패치가 필수
Server Components, Pages Router, Image Optimization API 등 Next.js의 광범위한 기능 영역에 걸쳐 취약점이 분포하여 영향 범위가 넓음
영향받는 패키지 및 패치 버전
React 관련 패치 대상:
react-server-dom-webpack,react-server-dom-parcel,react-server-dom-turbopack— 각각19.0.6,19.1.7,19.2.6버전으로 업데이트 필요Next.js 패치 대상:
15.5.16및16.2.5Vinext, OpenNext, TanStack Start 등 React 기반 서버 프레임워크 사용 시 해당 프레임워크도 최신 버전으로 함께 업데이트 필요
High 심각도 취약점 (6건)
CVE-2026-23870/GHSA-8h8q-6873-q5fj— React Server Components의 서비스 거부(DoS)React와 Next.js 양쪽 모두에 영향을 미치는 취약점
GHSA-267c-6grr-h53f— segment-prefetch 라우트를 통한 미들웨어 우회GHSA-mg66-mrh9-m8jx— Cache Components의 연결 고갈(connection exhaustion)을 통한 서비스 거부GHSA-492v-c6pp-mqqv— 동적 라우트 파라미터 주입을 통한 미들웨어 우회WAF 규칙으로 안전하게 차단 불가, 애플리케이션 동작을 깨뜨릴 수 있음
GHSA-c4j6-fc7j-m34r— WebSocket 업그레이드를 통한 SSRF(서버 측 요청 위조)WAF 규칙으로 안전하게 차단 불가
GHSA-36qx-fr4f-26g5— Pages Router i18n의 미들웨어 우회
Moderate 심각도 취약점 (4건)
GHSA-ffhc-5mcf-pf4q— CSP nonce를 통한 XSSGHSA-gx5p-jg67-6x7h—beforeInteractive스크립트의 XSSGHSA-h64f-5h5j-jqjh— Image Optimization API의 서비스 거부GHSA-wfc6-r584-vfw7— RSC 응답의 캐시 포이즈닝
Low 심각도 취약점 (2건)
GHSA-vfv6-92ff-j949— RSC 캐시 버스팅 충돌을 통한 캐시 포이즈닝GHSA-3g8h-86w9-wvmq— 미들웨어 리다이렉트 캐시 포이즈닝
WAF 차단 가능 여부
네트워크 레벨(WAF)로 차단 가능한 취약점은 DoS 계열 일부에 한정되며, 기존 React Server Component CVE 대응 규칙이 새로운 DoS 취약점에도 적용
미들웨어 우회, SSRF, XSS 등 다수의 High 심각도 취약점은 WAF로 안전하게 차단할 수 없어 애플리케이션 코드 패치가 유일한 대응 수단
커스텀 WAF 규칙으로 대응 가능한 항목도 있으나, 글로벌 managed 규칙으로 적용 시 애플리케이션 동작을 깨뜨릴 위험이 존재
프레임워크 어댑터별 영향
Vinext: 아키텍처가 기본 Next.js와 달라 공개된 CVE에 취약하지 않음
PPR resume 프로토콜 미구현, Pages Router data-route 엔드포인트 미노출,
x-nextjs-data등 내부 헤더를 요청 경계에서 제거추가 방어로
vinext init시 React19.2.6이상을 요구하도록 변경
OpenNext: 어댑터 자체는 직접 취약하지 않으나, 사용자가 애플리케이션의 Next.js 버전을 직접 업데이트해야 함
어댑터를 추가 강화한 새 버전 릴리스 완료
댓글 (7)
-
쟘쟘스
05.09 · 14.♡.134.130
-
빅빅버그
05.09 · 141.♡.9.1
느낌 상 AI로 찾았을 듯합니다.^^
-
아아무개00
05.09 · 178.♡.142.161
RSC 보안이슈 이거 좀 된거 아닌가요? 또 다른게 나온건가요? ;_;
요새 리액트팀 맘에 안들어요 자꾸 지엽적인것만 파고 기본에 충실하지 못한 느낌...
-
낮낮은언덕
→ 아무개00 작성자
05.09 · 117.♡.5.208
넵 다른겁니다. 저도 그래서 이제 리액트 다 걷어내고 안써야하나 생각 중이에요.
-
아아무개00
→ 낮은언덕
05.09 · 178.♡.142.161
배운 도둑질이라 확 바꾸기도 애매한데.. vue를 만지작거려봐야하나봐요. 며칠전에 리믹스 버전업한것도 브레이킹 체인지가 너무 많아서 야 이거 맞나 싶던데..
넥스트도 그렇고 리액트 환경 돌아가는 꼴을 보면 몇몇 기업인들이 인수합병으로 프레임워크 선점하고 지들 입맛대로 팔아먹으려고 주물럭대는것같아서 좀 그렇습니다.
-
따따땃해
05.10 · 175.♡.111.111
알려주셔서 고맙습니다. 방치해 둔 거 중단시켜 놓아야겠습니다. c# 블레이저 공부중인데 다음부터는 블레이저로 만들까 생각중입니다.
- R
rustacean
05.11 · 59.♡.65.234
서버 컴포넌트는 리액트에서 그렇게 밀어주는 와중에 보안이슈가 계속 터지네요
댓글을 작성하려면 이 필요합니다.
감사합니다.
아무도 관심없고 또 뭐 아무것도 중요한 것도 없는 제 연습용 개인서버지만 업데이트 했습니다.