Akamai, LayerX 인수로 모든 브라우저에서 AI 사용 제어 강화. 자세한 정보

CVE-2025-55182: React 및 Next.js 서버 기능 역직렬화 RCE

공유

요약 보고서

파트너로부터, 여러 React 기반 프레임워크에 영향을 미치는 신규 취약점 CVE-2025-55182가 React 서버 기능 프로토콜이 들어오는 Flight 요청을 처리하는 과정에 심각한 결함을 포함하고 있다는 통보를 받았습니다. Next.js팀은 이 취약점의 영향을 추적하기 위해 별도의 권고문 CVE-2025-66478을 공개했습니다.

현재까지 해당 취약점이 실제 환경에서 악용된 사례는 관찰되지 않았습니다. 그럼에도 불구하고 Akamai는 이 위협으로부터 고객을 보호하기 위해 Adaptive Security Engine의 Rapid Rule을 배포했습니다.

취약점 세부 정보

이 문제의 핵심은 안전하지 않은 역직렬화로, 공격자가 제어하는 인풋이 충분한 검증이나 정제 없이 파싱되고 확장된다는 점입니다. 참고: 이 취약점은 인증이 필요하지 않아 악용이 매우 쉽습니다.

이 과정에서 역직렬화 메커니즘은 오브젝트 속성을 암묵적으로 확장하게 되며, 이로 인해 프로토타입 오염에 취약해집니다. 공격자는 데이터 스트림에 악성 키를 주입해 기본 오브젝트 프로토타입을 변조할 수 있으며, 이를 통해 런타임 중 웹 애플리케이션의 동작을 변경할 수 있습니다.

이러한 프리미티브가 React Server Components의 특정 실행 경로와 결합될 경우, 공격은 표적 서버에서 원격 코드 실행(RCE)으로까지 확장될 수 있습니다. 이 리스크는 직렬화 프로토콜과 신뢰 경계가 밀접하게 연결된 React Server Components 및 전반적인 서버 기능 실행 모델에 크게 의존하는 웹 애플리케이션에서 특히 심각합니다. (자세한 내용은 React팀이 게시한 블로그 게시물에서 확인하실 수 있습니다.)

이 취약점은 다음 구성 요소의 19.0, 19.1.0, 19.1.1, 19.2.0 버전에 존재합니다.

  • react-server-dom-webpack

  • react-server-dom-parcel

  • react-server-dom-turbopack

영향을 받는 프레임워크와 번들러는 다음과 같습니다.

  • next

  • react-router

  • waku

  • @parcel/rsc

  • @vitejs/plugin-rsc

  • rwsdk

Akamai App & API Protector를 통한 방어

Akamai는 2025년 12월 3일, App & API Protector 고객을 대상으로 Adaptive Security Engine의 Rapid Rule을 배포해 전체 보호 범위를 확보했습니다.

  • 3000976 — React 원격 코드 실행 공격 탐지(CVE-2025-55182)

요약

해당 위협으로부터 고객을 보호하기 위해 Akamai App & API Protector에 새로운 룰이 배포되었습니다. 그러나 가장 효과적인 방어는 벤더사가 제공한 패치를 즉시 적용하는 것입니다. 이 문제의 심각도를 고려할 때 가능한 한 빨리 패치를 적용해야 합니다.

Akamai Security Intelligence Group은 고객과 보안 커뮤니티 전체를 위해 이와 같은 위협에 대한 모니터링, 보고, 방어를 계속할 것입니다. Akamai Security Intelligence Group의 최신 뉴스를 더 받으려면 리서치 홈페이지를 방문하고 소셜 미디어를 팔로우하세요.

태그

공유

관련 블로그 게시물

사이버 보안
측면 이동 공격에 취약한 Linux
June 28, 2023
측면 이동이 Windows로만 가능한 것은 아닙니다. 측면 이동으로 스스로를 보호하는 데 활용할 수 있는 Linux의 프로토콜을 검토해 보겠습니다.
사이버 보안
‘Hi’가 보이는 순간 즉시 감염되는 Mirai 기반의 NoaBot 등장
January 10, 2024
Akamai 보안 연구원들은 공격자들이 수정한 맞춤형 Mirai 봇넷을 사용하는 새로운 암호화폐 채굴 캠페인 NoaBot을 발견했습니다.
연구
Mini Shai-Hulud: 돌아온 웜 그리고 공개 배포
2026년 Shai-Hulud 공급망 공격에 대해 알아보세요. TeamPCP가 악성 페이로드 내부에서 CI 캐시 포이즈닝과 OIDC 악용을 어떻게 활용하는지 알아보세요.