React·Next.js RSC, 인증 없는 원격 코드 실행, 심각한 취약점 발표

React·Next.js RSC, 인증 없는 원격 코드 실행 취약점 발표

​

[ 조치할 사항 ]

-React 서버 패키지는 19.0.1, 19.1.2, 19.2.1로 업데이트

-Next.js는 15.0.5 이상 또는 16.0.7 적용

-RSC 기반으로 동작하는 기타 프레임워크도 패치 여부 확인

​

리액트 서버 컴포넌트(React Server Components, RSC)에서 인증 없이 원격 코드 실행이 가능한 중대한 보안 취약점이 공개되었다.

리액트 팀은 3일 보안 알림을 통해 이번 문제를 공식 확인하며 즉각적인 업그레이드를 권고했다. 특히 이 취약점은 공격자가 로그인 과정 없이 악성 요청만 전송해도 서버에서 임의 코드를 실행할 수 있어, 서비스 운영자 입장에서는 치명적인 상황이 발생할 수 있다.

​

“요청 하나로 서버에서 코드 실행”…구조적 결함이 문제

​

리액트 팀은 “앱이 명시적으로 서버 펑션을 구현하지 않았더라도, RSC 기능을 지원하는 순간 이미 공격에 노출될 수 있다”고 설명했다. 즉, 단순히 Next.js App Router 기반으로 제작된 서비스만으로도 충분히 위험하다는 뜻이다.

​

https://www.dailysecu.com/news/articleView.html?idxno=203063

[긴급] React·Next.js RSC서 인증 없는 원격 코드 실행 취약점…“패치 미적용 시 즉각 침해 가능” -