요약 보고서
파트너로부터, 여러 React 기반 프레임워크에 영향을 미치는 신규 취약점 CVE-2025-55182가 React 서버 기능 프로토콜이 들어오는 Flight 요청을 처리하는 과정에 심각한 결함을 포함하고 있다는 통보를 받았습니다. Next.js팀은 이 취약점의 영향을 추적하기 위해 별도의 권고문 CVE-2025-66478을 공개했습니다.
현재까지 해당 취약점이 실제 환경에서 악용된 사례는 관찰되지 않았습니다. 그럼에도 불구하고 Akamai는 이 위협으로부터 고객을 보호하기 위해 Adaptive Security Engine의 Rapid Rule을 배포했습니다.
취약점 세부 정보
이 문제의 핵심은 안전하지 않은 역직렬화로, 공격자가 제어하는 인풋이 충분한 검증이나 정제 없이 파싱되고 확장된다는 점입니다. 참고: 이 취약점은 인증이 필요하지 않아 악용이 매우 쉽습니다.
이 과정에서 역직렬화 메커니즘은 오브젝트 속성을 암묵적으로 확장하게 되며, 이로 인해 프로토타입 오염에 취약해집니다. 공격자는 데이터 스트림에 악성 키를 주입해 기본 오브젝트 프로토타입을 변조할 수 있으며, 이를 통해 런타임 중 웹 애플리케이션의 동작을 변경할 수 있습니다.
이러한 프리미티브가 React Server Components의 특정 실행 경로와 결합될 경우, 공격은 표적 서버에서 원격 코드 실행(RCE)으로까지 확장될 수 있습니다. 이 리스크는 직렬화 프로토콜과 신뢰 경계가 밀접하게 연결된 React Server Components 및 전반적인 서버 기능 실행 모델에 크게 의존하는 웹 애플리케이션에서 특히 심각합니다. (자세한 내용은 React팀이 게시한 블로그 게시물에서 확인하실 수 있습니다.)
이 취약점은 다음 구성 요소의 19.0, 19.1.0, 19.1.1, 19.2.0 버전에 존재합니다.
react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack
영향을 받는 프레임워크와 번들러는 다음과 같습니다.
next
react-router
waku
@parcel/rsc
@vitejs/plugin-rsc
rwsdk
Akamai App & API Protector를 통한 방어
Akamai는 2025년 12월 3일, App & API Protector 고객을 대상으로 Adaptive Security Engine의 Rapid Rule을 배포해 전체 보호 범위를 확보했습니다.
3000976 — React 원격 코드 실행 공격 탐지(CVE-2025-55182)
요약
해당 위협으로부터 고객을 보호하기 위해 Akamai App & API Protector에 새로운 룰이 배포되었습니다. 그러나 가장 효과적인 방어는 벤더사가 제공한 패치를 즉시 적용하는 것입니다. 이 문제의 심각도를 고려할 때 가능한 한 빨리 패치를 적용해야 합니다.
Akamai Security Intelligence Group은 고객과 보안 커뮤니티 전체를 위해 이와 같은 위협에 대한 모니터링, 보고, 방어를 계속할 것입니다. Akamai Security Intelligence Group의 최신 뉴스를 더 받으려면 리서치 홈페이지를 방문하고 소셜 미디어를 팔로우하세요.
태그
