프론트엔드 개발자 여러분, 지금 하던 일을 멈추고 package.json을 확인해야 합니다. 2025년 12월 11일자로 공개된 React Server Components(RSC) 관련 치명적인 보안 취약점(CVE-2025-55182)이 보고되었습니다.

이 취약점은 원격 코드 실행(RCE)으로 이어질 수 있으며, Next.js 15, 16 버전 사용자 모두에게 영향을 미칩니다.

1. 취약점 개요 (CVE-2025-55182)

• 영향도: Critical (치명적)
• 영향 받는 버전:
  • React 19.0.0 ~ 19.2.0
  • Next.js 15.x 전체
  • Next.js 16.0.0 ~ 16.0.6
• 원인: 서버 컴포넌트에서 직렬화(Serialization) 과정 중 특수하게 조작된 페이로드를 처리할 때, 서버 내부의 함수 실행 흐름을 가로챌 수 있는 버그가 발견되었습니다.

쉽게 말해, 해커가 프론트엔드 요청을 조작하여 Node.js 서버의 쉘(Shell) 권한을 탈취할 수 있다는 뜻입니다.

2. 해결 방법: 즉시 업데이트

Vercel 팀과 React 팀은 이 문제를 인지하고 긴급 핫픽스를 배포했습니다.

2.1 Next.js 사용자

가장 최신 패치 버전인 16.0.7 이상으로 업데이트해야 합니다.

# npm 사용 시
npm install next@latest react@latest react-dom@latest

# yarn 사용 시
yarn add next@latest react@latest react-dom@latest

# pnpm 사용 시
pnpm up next react react-dom

업데이트 후 npm list next를 통해 버전이 16.0.7 이상인지 반드시 확인하세요.

2.2 React 19 (Standalone) 사용자

Next.js 없이 React 19의 서버 컴포넌트 기능을 실험적으로 사용하고 있었다면, react와 react-dom을 19.0.1 이상으로 올려야 합니다.

3. 왜 이런 일이 발생했나?

Server Actions와 RSC는 클라이언트와 서버의 경계를 허무는 혁신적인 기술이지만, 그만큼 **공격 표면(Attack Surface)**도 넓어졌습니다.

이번 취약점은 RSC가 클라이언트로부터 받은 데이터를 Hydration하는 과정에서 발생했습니다. 과거 PHP나 JSP 시절의 ‘객체 주입(Object Injection)’ 공격과 유사한 패턴이 모던 프론트엔드 프레임워크에서도 재현된 것입니다.

4. 프론트엔드 보안의 중요성

“프론트엔드는 보안과 거리가 멀다”는 말은 옛말입니다. 이제 우리는 사실상 풀스택 프레임워크를 다루고 있습니다.

• use server 지시어를 사용할 때, 해당 함수가 퍼블릭 API 엔드포인트가 된다는 사실을 항상 인지해야 합니다.
• 입력값 검증(Zod 등을 활용)은 선택이 아닌 필수입니다.

지금 당장 배포 파이프라인을 확인하고, 패치를 적용하여 프로덕션을 보호하시기 바랍니다. Cosmic 등 주요 플랫폼은 이미 강제 업데이트를 적용했지만, 자체 호스팅 중이라면 수동 업데이트가 필요합니다.