2025년 12월 3일 기준 React 및 Next.js 서비스에서는 취약점이 발견되었으니깐, 업데이트 하란다.
자세한 내용은 직접 확인해봐라
내용에 따르면,
특정 조건에서 조작된 요청을 통해 원격 코드 실행하는 취약점이다.
React Server Components를 통해서 발생한다는데,
서버컴포넌트 사용하지 않더라도 확인해보고 문제있는 버전 사용중이라면 업데이트 하자.
만약 너의 프로젝트가 아래의 버전에 해당한다면, 업데이트 하자
- React: 19.0, 19.1.0, 19.1.1, 19.2.0
- Next.js:
- 14.3.0-canary.77 이상의 canary 버전
- 15.x 전체, 16.x 전체
해결해보자
1. 패키지부터 정리
- node_modules 삭제
- package-lock.json 삭제
2. 안전한 버전으로 다운그레이드
- React Patched version: 19.0.1, 19.1.2, 19.2.1
- Next.js Patched version: v16.0.7, v15.5.7, v15.4.8, v15.3.6, v15.2.6, v15.1.9, v15.0.5, 15.6.0-canary.58, 16.1.0-canary.12
패치된 버전중에 아무거나 고르던지, 애초에 문제없는 이전 버전으로 변경해라.
나는?
# Next.js 15.1.9 설치 (보안 패치 포함)
npm install next@15.1.9
# React 18.3.1로 다운그레이드 (안정 버전)
npm install react@18.3.1 react-dom@18.3.1왜 React 18로 다운그레이드했나?
React 19에서 패치된 버전(19.0.1, 19.1.2, 19.2.1)도 있었지만, 다음 이유로 React 18을 선택했습니다:
React 18은 이미 검증된 안정 버전
Next.js 15.1.9와 완벽하게 호환
프로덕션 환경에서 더 안정적
3. 의존성 재설치 + 테스트
- npm i
- ctrl + shift + P : vscode 새로고침
- npm run build
- npm run test
최종 변경사항
{
"dependencies": {
"next": "15.3.4" → "15.1.9",
"react": "^19.0.0" → "^18.3.1",
"react-dom": "^19.0.0" → "^18.3.1"
}
}보안은 선택이 아닌 필수🩷
