요약 보고서
여러 React 기반 프레임워크에 영향을 미치는 새로 공개된 취약점 몇 가지를 파트너로부터 통보받았습니다.
Akamai는 이러한 위협으로부터 고객사를 보호하기 위해 Akamai Adaptive Security Engine Rapid Rules를 배포했습니다. Akamai Hunt를 구독한 Guardicore 고객을 위해 Akamai는 고객 환경에서 관련성 높은 취약한 자산을 검색 및 탐지했으며, 이러한 자산을 보호하기 위한 권장 사항도 제공했습니다.
취약점 세부 정보
RSC(React Server Component) 프레임워크에서 두 가지 새로운 취약점이 발견되었습니다.
- CVE-2025-55183 - 정보 유출: 공격자는 인풋의 유효성이 적절히 검증되지 않으면 서버 함수의 인수를 조작하여 서버 전용 소스 코드를 유출시킬 수 있습니다.
- CVE-2025-55184 - 함수 수준 서비스 거부(DoS): 특수하게 조작된 페이로드는 무한 promise 재귀를 발생시켜 Node.js 서버를 중단시키고 영향을 받는 서버를 오프라인 상태로 전환할 수 있습니다.
Akamai App & API Protector를 통한 방어
2025년 12월 10일, Akamai는 App & API Protector 고객을 위해 Adaptive Security Engine Rapid Rule을 배포하여 전체 커버리지를 제공했습니다.
3000977 - React 취약점의 정보 유출 탐지(CVE-2025-55183)
3000978 - React의 서비스 거부 취약점 탐지(CVE-2025-55184)
요약
Akamai는 여러 React 기반 프레임워크에 영향을 미치는 새로 공개된 취약점으로부터 고객사를 보호하기 위해 App & API Protector에 새로운 룰을 배포했습니다.
Akamai Hunt 고객은 이와 같이 심각도가 높은 새로운 취약점에 대한 연중무휴 24시간 지속적인 모니터링은 물론 Guardicore의 정밀한 마이크로세그멘테이션 기능을 통해 가상 패치와 관련된 맞춤형 권고를 받을 수도 있습니다.
Insight를 사용하는 Guardicore 고객은 적절한 쿼리를 사용해 취약한 자산을 식별할 수 있습니다.
SELECT name, version
FROM npm_packages
WHERE LOWER(name) IN ('react', 'react-dom', 'react-server-dom-webpack', 'react-server-dom-parcel', 'react-server-dom-turbopack')
AND version IN ('19.0.0', '19.1.0', '19.1.1', '19.2.0')
UNION ALL
SELECT name, version
FROM npm_packages
WHERE LOWER(name) = 'next'
AND ((version LIKE '15.%' AND version < '15.1.3') OR version LIKE '16.%' OR version >= '14.3.0-canary.77');관심 유지
태그
