🔥 [긴급 보안 공지] React·Next.js에서 CVSS 10.0 취약점 발견 — 인증 없이 원격 코드 실행 가능 (React2Shell)

By PLURA 2025-12-08

🚨 개요 — React2Shell, CVSS 10.0의 “Log4j급” 초심각도 취약점

2025년 12월, 글로벌 보안기업 Wiz가 React Server Components(RSC) 와
이를 사용하는 Next.js(App Router 기반) 에서
CVSS 10.0(최고 심각도) 의 원격 코드 실행(Remote Code Execution, RCE) 취약점을 공개했습니다.

전 세계 보안 커뮤니티에서는 이 취약점을 React2Shell이라 부르고 있으며,
그 심각도는 Log4Shell(Log4j)과 동일한 ‘완전한 서버 장악 가능’ 수준으로 평가되고 있습니다.

즉,

React2Shell(CVSS 10.0)은 명백히 Log4j급 취약점입니다.
인증 없이 서버 코드가 실행될 수 있으며 공격 난이도 또한 매우 낮습니다.

전 세계적으로 React·Next.js 기반 서비스가 폭넓게 배포되어 있어
국내외 CERT와 주요 보안 벤더는 즉각적인 패치 적용을 권고하고 있습니다.

⚠️ 어떤 위험이 있나요?

서버에서 인증 없이 임의 코드 실행 가능
조작된 요청만으로 전체 서버 장악 가능
기본 설정(Default Config)만으로도 공격이 성립
이미 실제 공격 시도와 스캔 트래픽 증가가 글로벌하게 관측됨

Next.js(App Router) 또는 React Server Components를 사용하는 웹서비스라면
지체 없이 영향성 평가 및 패치 적용이 필요합니다.

🔥 2. Log4j와 비교: 무엇이 같은가?

항목	Log4j (Log4Shell)	React2Shell (이번 RCE)	공통점
심각도	10.0	10.0	동일
공격 난이도	매우 낮음	매우 낮음	동일
인증 필요 여부	불필요	불필요	동일
결과	완전한 원격 코드 실행(RCE)	완전한 원격 코드 실행(RCE)	동일
영향 범위	수많은 기업 백엔드/웹서비스	Next.js·React 서버 환경	넓은 생태계 취약
Zero-day 여부	예	예 (공개 직후 공격 급증)	동일

정리하면:

공격 난이도·영향·위험성 측면에서 React2Shell은 Log4j와 동급이며,
즉각적인 대응이 필요한 초고위험 취약점입니다.

🧩 기술 요약

1) 취약점 정보

CVE-2025-55182 — React Server Components(RSC) 프로토콜 취약점
CVE-2025-66478 — Next.js가 RSC 결함을 상속해 발생한 하위 취약점
통칭: React2Shell

2) 공격 방식

RSC 프로토콜이 페이로드를 안전하게 역직렬화하지 못하는 구조적 설계 결함을 가지고 있습니다.
이를 악용하면 공격자는 단순 HTTP 요청만으로 서버 측에서 임의 코드를 실행할 수 있습니다.

로그인·세션 등 인증은 전혀 필요하지 않습니다.

🎯 영향받는 환경

다음 조건 중 하나라도 해당되면 취약한 상태입니다.

Next.js App Router 기반 서비스 운영
React Server Components(RSC) 사용
react-server-dom-* 패키지 사용
Next.js 15.x / 16.x / 일부 14.x canary 기반 환경

React 공식 패치 버전: 19.0.1 / 19.1.2 / 19.2.1 이상
Next.js 패치 버전: 15.0.5 / 15.1.9 / 16.0.7 등

🛡 고객사에 필요한 조치

1) 즉시 영향성 점검

서비스가 React Server Components 또는 Next.js(App Router)를 사용 중인지 확인
project dependencies에서 해당 패키지가 존재하는지 확인
RSC 엔드포인트가 외부에 노출되어 있는지 점검

2) 긴급 패치 적용

React: 19.0.1, 19.1.2, 19.2.1 이상으로 업데이트
Next.js: 공식 제공된 보안 패치 버전으로 업그레이드

3) 보안 모니터링 강화

WAF·XDR·SIEM에서 RSC 취약점 관련 이상 요청 패턴 탐지 활성화
최근 서버 로그에서 RSC 호출·스캔 패턴 집중 분석
React2Shell 관련 IOC 기반 탐지 룰 적용

🛡 WAF(웹방화벽)에서 즉시 적용해야 하는 차단 정책

React2Shell 취약점은 “특수하게 조작된 RSC 요청”이 핵심 공격 벡터이므로,
WAF에서는 아래 정책을 즉시 적용하는 것이 좋습니다.

✔ 1) 비정상적인 RSC 페이로드 차단

/_rsc 또는 ?rsc= 형태의 비정상 길이·깨진 Base64·압축된 payload
JSON이 아닌 구조의 binary-like payload
RSC 프로토콜 사양에 없는 type, id, directive 필드 변조

✔ 2) 서버 렌더링 엔드포인트(SSR/RSC) 접근 제어 강화

예상치 못한 HTTP 메서드 요청 차단 (PUT/DELETE 등)
내부 API를 호출하는 SSR 경로에 대한 접근 제한

✔ 3) 스캔/봇 트래픽 차단 정책 강화

짧은 시간 내 반복적인 _rsc 요청
비정상 User-Agent (curl, python-requests 등)
해외에서 오는 대량 요청 차단(GeoIP 기반)

요약:
WAF에서는 “RSC 비정상 페이로드 차단 + SSR 엔드포인트 보호 + 공격 패턴 기반 Rate-limit 적용”이 핵심입니다.

📌 결론

React2Shell은 단순 개발자 실수가 아닌,
프레임워크·프로토콜 레벨의 구조적 취약점이며
공격 난이도와 피해 규모 관점에서 Log4j에 필적하는 초심각도 문제입니다.

React/Next.js 기반 서비스를 운영 중이라면
지금 즉시 패치를 적용하고 보안 점검을 수행해야 합니다.

필요하신 경우,
귀사 환경을 위한 취약성 진단, RSC 노출 여부 조사,
패치 가이드, WAF/XDR 탐지 룰 연동을 지원해 드립니다.