[긴급 보안 공지] React 및 Next.js 'React2Shell' 취약점(CVE-2025-55182) 확인 및 조치 안내

안녕하세요, 베스핀글로벌(Bespin Global)입니다.

최근 전 세계적으로 React 서버 컴포넌트(RSC) 환경을 대상으로 한 치명적인 보안 취약점인 'React2Shell' (CVE-2025-55182)이 발견되었습니다.

현재 중국 연계 해킹 그룹(China-Nexus) 등이 해당 취약점을 악용하여 공격을 시도하는 정황이 포착되고 있습니다. 이에 고객사 여러분께서는 아래 안내에 따라 운영 중인 시스템의 영향 여부를 확인하시고, 긴급 보안 업데이트를 진행해 주시기 바랍니다.

1. 취약점 개요

• 취약점 명: React2Shell (CVE-2025-55182)

• 심각도: Critical (CVSS Score 10.0) - 즉시 조치 필요

• 내용: React 서버 컴포넌트(RSC)의 Flight 프로토콜 처리 과정에서 발생하는 비안전한 역직렬화 취약점입니다. 공격자는 인증 절차 없이 원격에서 임의의 코드를 실행(RCE)할 수 있으며, 이를 통해 서버 권한 탈취 및 랜섬웨어 감염 등의 피해가 발생할 수 있습니다.

2. 내 시스템이 '대상'인지 확인하는 방법

본 취약점은 React Server Components (RSC) 기능을 사용하는 환경에 영향을 미칩니다. 개발팀과 협력하여 아래 항목을 점검해 주십시오.

✅ 자가 진단 체크리스트

1. Next.js 사용 시:

   • package.json 내 next 버전이 위 해당 버전인지 확인

   • 프로젝트 내에 app/ 디렉토리(App Router)를 사용 중인지 확인

     (※ pages/ 디렉토리(Pages Router)만 사용하는 경우 영향 없음)

2. React 직접 사용 시:

   • react 버전이 19.0.0 ~ 19.2.0 사이인지 확인

   • RSC 관련 패키지(react-server-dom-webpack 등) 사용 여부 확인

3. 대응 방안 (긴급 업데이트 가이드)

Vercel 팀에서 해당 이슈가 해결된 버전을 한 번에 업데이트할 수 있는 자동화 명령어를 배포했습니다. (2025.12.08 업데이트)

방법 A: 자동 패치 도구 사용 (권장)

터미널에서 아래 명령어를 실행하면, 영향받는 패키지를 안전한 버전으로 일괄 업데이트합니다.

npx fix-react2shell-next

• 참고 링크: Vercel Security Bulletin - React2Shell

방법 B: 수동 버전 업데이트

자동 도구 사용이 어려운 경우, package.json을 수정하여 아래 버전 이상으로 업그레이드하십시오.

• Next.js v15: 15.0.4 이상

• Next.js v16: 16.0.7 이상

• React: 19.2.1 이상

⚠️ 업데이트 시 주의사항

안정적인 서비스 운영을 위해 반드시 [개발계] → [검증계] → [운영계] 순서로 순차적인 적용을 권장 드립니다.

4. 참고 자료

• AWS Security Blog - China-Nexus cyber threat groups exploit React2Shell

• KISA 인터넷 보호나라 보안 공지

[문의 안내]

본 취약점 조치와 관련하여 기술적인 지원이 필요하시거나, 영향도 파악에 어려움이 있으신 경우 베스핀글로벌 기술지원포털 또는 담당 AM(Account Manager)에게 문의해 주시기 바랍니다.

베스핀글로벌은 고객님의 안전한 클라우드 환경 운영을 위해 최선을 다하겠습니다.

감사합니다.

Bespin Global 드림