🚨 React 19 사용자 필독! 취약점 분석 및 대응

안녕하세요! 오늘은 최근 프론트엔드 생태계를 뜨겁게 달군 React Server Components(RSC) 관련 치명적인 보안 취약점, CVE-2025-55182에 대해 정리해 보려고 합니다.

React 19 및 Next.js App Router를 사용하고 계신다면 이 글을 꼭 확인하시고, 즉시 업데이트하시길 권장합니다.

---

🚨 CVE-2025-55182?

2025년 12월 초, React Server Components(RSC) 구현체에서 치명적인 원격 코드 실행(RCE) 취약점이 발견되었습니다.

• CVE ID: CVE-2025-55182
• 별칭: React2Shell
• 심각도: Critical (CVSS 10.0 / 10.0)
• 영향 범위: React 19.0.0 ~ 19.2.0 버전을 사용하는 RSC 환경

이 취약점은 해커가 인증 절차 없이 단 하나의 HTTP 요청만으로 서버에서 임의의 코드를 실행할 수 있게 만듭니다. 이미 야생에서 랜섬웨어 배포 등에 악용된 사례가 보고되기도 했습니다.

🐛 상세 내용

이 문제는 React Server Components가 클라이언트로부터 받은 요청을 처리할 때, 데이터 역직렬화(Deserialization) 과정에서 발생합니다.

구체적으로 react-server-dom-webpack, react-server-dom-turbopack 등의 패키지가 페이로드 검증을 제대로 수행하지 않아, 공격자가 조작된 데이터를 보내면 서버 내부 로직을 오염시키고 임의의 자바스크립트 코드를 실행할 수 있게 됩니다.

영향받는 버전

다음 버전의 React를 사용 중이라면 위험합니다.

• 19.0.0
• 19.1.0, 19.1.1
• 19.2.0

특히 Next.js (App Router) 와 같이 RSC를 기본적으로 사용하는 프레임워크가 주된 타겟이 됩니다.

🛡️ 대응 방법

다행히 React 팀에서 빠르게 패치를 배포했습니다. 가장 확실하고 유일한 해결책은 버전을 올리는 것입니다.

1. 즉시 업데이트 (권장)

사용 중인 패키지 매니저에 맞춰 react와 react-dom을 최신 패치 버전(19.2.1 이상)으로 업데이트하세요.

npm

npm install react@latest react-dom@latest

yarn

yarn upgrade react react-dom

pnpm

pnpm upgrade react react-dom

2. 버전 확인

업데이트 후, package.json이나 락 파일에서 버전이 19.2.1 (또는 19.0.1, 19.1.2) 이상인지 꼭 확인해 주세요.

📝 마치며

프론트엔드 영역, 특히 서버 사이드 렌더링(SSR)과 RSC가 보편화되면서 프론트엔드 개발자도 서버 보안에 대해 더 민감하게 반응해야 할 시점인 것 같습니다.

우리 프로젝트도 확인해 보니 19.2.0을 사용 중이라 식겁해서 바로 업데이트를 진행했네요. 😅 여러분의 프로젝트도 지금 바로 확인해 보세요!

---

Reference

• NVD - CVE-2025-55182
• React 공식 블로그 및 보안 권고 사항