JavaScript 기반의 웹 프레임워크인 React(CVE-2025-55182) 및 React를 기반으로 하는 Next.js(CVE-2025-66478)에서 각각 원격 명령 실행 취약점이 발표되어 안내드립니다.
해당 취약점은 인증 여부와 무관하게 임의 코드 실행이 가능하므로, 취약한 버전 사용 시 서비스 영향도를 고려해 권고된 패치 버전 또는 최신 버전으로 신속히 업데이트하는 것을 권고드립니다.

■ 취약점 내용

React 및 Next.js는 RSC(React Server Components) 구현에 사용되는 Flight 프로토콜이 client로부터 전송받은 RSC 페이로드를 역직렬화하는 과정에서 입력 검증이 미흡하여 공격자가 임의의 데이터를 실행 로직에 반영시킬 수 있음
이로 인해 인증되지 않은 공격자가 HTTP 요청만으로 임의의 JavaScript를 실행할 수 있음

참고 : https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182#technical-details-3

■ 영향을 받는 버전

• react 및 react-server-dom*: 19.0.0, 19.1.0, 19.1.1, 19.2.0

• Next.js: 14.3.0-canary, 15.x, and 16.x (App Router)

• next.js 외에도 취약한 React 패키지에 의존성이 있는 프레임워크나 라이브러리도 취약할 수 있음
  react router, vite rsc plugin, parcel rsc plugin 등

■ 조치 방안

서비스 영향도를 고려하여 아래 명시한 버전 이상으로 업데이트하시기 바랍니다.

• react : 19.0.1, 19.1.2, 19.2.1

• Next.js : 14.3.0-canary.88, 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7
  ※ 13.x, 14.x의 stable 버전은 취약하지 않음

[참고사이트]
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
https://www.facebook.com/security/advisories/cve-2025-55182

관련 문의는 "고객지원 문의하기" 또는 1644-2781으로 연락 바랍니다.
더욱 편리한 서비스 제공을 위하여 항상 노력하겠습니다.

감사합니다.
​
네뷸라엑스 클라우드팀 드림.