긴급 보안 공지

🚨 CVE-2025-55182 취약점 발견

React Server Components 원격 코드 실행(RCE) 취약점 - 즉시 패치 필요

안녕하세요, SM 솔루션즈입니다.

2025년 12월 3일, CVSS 10점의 치명적 보안 취약점(CVE-2025-55182)이 공개되었습니다. 이 취약점은 React 및 Next.js 기반 웹 애플리케이션에 영향을 미치며, 미국 CISA가 실제 공격 진행을 공식 확인하여 KEV(Known Exploited Vulnerabilities) 목록에 긴급 등재한 상황입니다.

본 공지는 고객사의 신속한 현황 파악과 피해 예방을 돕기 위해 발송해 드립니다.

⚠️ 이 취약점이 위험한 이유

🔴 속보

"2021년 Log4j 이후 최악의 취약점" — 보안 전문가들이 이번 취약점을 'React2Shell'이라 명명하며 역대급 위험으로 경고하고 있습니다.

귀사의 웹사이트나 앱이 React 또는 Next.js로 개발되었다면, 해커가 아무런 로그인 없이 서버를 완전히 장악할 수 있는 심각한 보안 구멍이 발견되었습니다.

📊 Log4j(2021) vs React2Shell(2025) 비교
구분
Log4j (2021)
React2Shell (2025)
CVSS 점수
10.0
10.0 (동일)
영향 범위
Java 서버
전 세계 웹서비스
글로벌 노출
수십만 대
50만+ 서버
공격 난이도
쉬움
매우 쉬움
🚨
미국 CISA, 실제 공격 확인 — KEV 목록 등재

미국 사이버보안 및 인프라 보안국(CISA)은 12월 5일 CVE-2025-55182를 Known Exploited Vulnerabilities(KEV) 목록에 추가하며 실제 공격이 진행 중임을 공식 확인했습니다. AWS는 중국 연계 해커 그룹(Earth Lamia, Jackpot Panda)의 공격 시도를 탐지했다고 발표했습니다.

🔓
로그인 불필요 해커는 ID/비밀번호 없이 공격 가능
💻
서버 완전 장악 고객 정보, DB, 파일 모두 탈취 가능
기본 설정만으로 취약 개발자 실수 없이도 공격당함
🌐
실제 공격 진행 중 PoC 공개, 대량 스캔 확인됨
💡 쉽게 비유하면

건물의 마스터키가 인터넷에 공개된 상황입니다. 해커는 이 마스터키로 귀사 서버의 모든 문을 열 수 있고, 고객 정보 유출, 서비스 마비, 랜섬웨어 감염 등 치명적인 피해를 입힐 수 있습니다. 더 심각한 것은, 2021년 Log4j는 Java 서버에 한정됐지만, 이번 취약점은 전 세계 웹서비스의 핵심 프레임워크를 타깃으로 한다는 점입니다.

위험도
10 / 10
"

기본 설정(Default Configuration)만으로도 취약합니다. create-next-app으로 생성한 표준 Next.js 앱도 개발자가 코드를 수정하지 않아도 공격당할 수 있으며, 우리 테스트에서 거의 100% 성공률을 보였습니다.

— Wiz Security Research Team
🔗 AWS Security Blog 🔗 US CISA KEV 🔗 Wiz Research
CVE-2025-55182
10 CRITICAL

React Server Components RCE

Zero-click Remote Code Execution

React Server Components(RSC)에서 HTTP 요청 페이로드를 안전하지 않게 역직렬화(Unsafe Deserialization)하여 발생하는 원격 코드 실행 취약점입니다. 공격자는 인증 없이 서버에서 임의의 코드를 실행할 수 있으며, 서버 함수를 명시적으로 구현하지 않았더라도 RSC를 지원하는 경우 취약할 수 있습니다.

공개일
2025년 12월 3일
익스플로잇 상태
공개됨 - 실제 공격 발생 중
패치 상태
보안 패치 제공됨
참조
BDSA-2025-42124

📦 영향받는 패키지

패키지 취약 버전 패치 버전
react-server-dom-webpack 19.0 ~ 19.2.0 19.0.1, 19.1.2, 19.2.1
react-server-dom-parcel 19.0 ~ 19.2.0 19.0.1, 19.1.2, 19.2.1
react-server-dom-turbopack 19.0 ~ 19.2.0 19.0.1, 19.1.2, 19.2.1
Next.js 15.x ~ 16.0.x 15.x.x 패치버전 또는 16.0.7

즉시 조치 방안

1

프로젝트 점검

package.json에서 React, Next.js 버전을 확인하고 취약 버전 사용 여부를 점검합니다.

2

패키지 업데이트

취약 버전 발견 시 즉시 패치 버전으로 업데이트합니다.

3

테스트 및 배포

개발/검증 환경에서 기능 테스트 후 운영 환경에 배포합니다.

# React 패키지 업데이트
npm update react react-dom

# 또는 특정 버전 지정
npm install react@19.2.1 react-dom@19.2.1

# Next.js 업데이트
npm install next@latest
Black Duck SCA로 선제적 대응하기
Software Composition Analysis를 통한 취약점 관리
  • 자동 취약점 탐지 - 프로젝트 내 모든 오픈소스 컴포넌트의 알려진 취약점을 자동으로 식별합니다.
  • SBOM 기반 분석 - Software Bill of Materials를 기반으로 의존성 트리 전체를 분석합니다.
  • 실시간 모니터링 - 새로운 취약점 공개 시 즉시 알림을 받아 선제적 대응이 가능합니다.
  • 패치 가이드 제공 - 취약점별 권장 패치 버전과 조치 방안을 상세히 안내합니다.
신속한 대응이 피해를 최소화합니다
🛡️

SM 솔루션즈의 보안 대응 지원

이번 취약점으로 인한 피해를 최소화할 수 있도록 SM 솔루션즈가 함께합니다.
보안취약점 탐지 및 패치 가이드를 지원해 드립니다.

📊 취약점 분석 리포트 제공
🔧 패치 적용 가이드 안내
📞 기술 상담 지원
💬 보안 상담 문의하기

궁금하신 점이 있으시면 연락주세요

sales@smsolus.com