https://news.hada.io/topic?id=29283
React 팀과 Vercel이 React Server Components와 Next.js에 영향을 미치는 12건의 보안 취약점을 동시에 공개하며, 애플리케이션 즉시 업데이트를 강력 권고
서비스 거부(DoS), 미들웨어 우회, SSRF, XSS, 캐시 포이즈닝 등 다양한 공격 벡터가 포함되며 High 심각도 6건, Moderate 4건, Low 2건으로 분류
패치 버전으로 React 19.0.6/19.1.7/19.2.6과 Next.js 15.5.16/16.2.5가 제공되며, React 기반 서버 프레임워크도 함께 업데이트 필요
일부 취약점은 WAF 등 네트워크 레벨 방어로는 차단이 불가능하여, 애플리케이션 코드 자체의 패치가 필수
Server Components, Pages Router, Image Optimization API 등 Next.js의 광범위한 기능 영역에 걸쳐 취약점이 분포하여 영향 범위가 넓음
영향받는 패키지 및 패치 버전
React 관련 패치 대상: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack — 각각 19.0.6, 19.1.7, 19.2.6 버전으로 업데이트 필요
Next.js 패치 대상: 15.5.16 및 16.2.5
Vinext, OpenNext, TanStack Start 등 React 기반 서버 프레임워크 사용 시 해당 프레임워크도 최신 버전으로 함께 업데이트 필요
High 심각도 취약점 (6건)
CVE-2026-23870 / GHSA-8h8q-6873-q5fj — React Server Components의 서비스 거부(DoS)
GHSA-267c-6grr-h53f — segment-prefetch 라우트를 통한 미들웨어 우회
GHSA-mg66-mrh9-m8jx — Cache Components의 연결 고갈(connection exhaustion)을 통한 서비스 거부
GHSA-492v-c6pp-mqqv — 동적 라우트 파라미터 주입을 통한 미들웨어 우회
GHSA-c4j6-fc7j-m34r — WebSocket 업그레이드를 통한 SSRF(서버 측 요청 위조)
GHSA-36qx-fr4f-26g5 — Pages Router i18n의 미들웨어 우회
Moderate 심각도 취약점 (4건)
GHSA-ffhc-5mcf-pf4q — CSP nonce를 통한 XSS
GHSA-gx5p-jg67-6x7h — beforeInteractive 스크립트의 XSS
GHSA-h64f-5h5j-jqjh — Image Optimization API의 서비스 거부
GHSA-wfc6-r584-vfw7 — RSC 응답의 캐시 포이즈닝
Low 심각도 취약점 (2건)
WAF 차단 가능 여부
네트워크 레벨(WAF)로 차단 가능한 취약점은 DoS 계열 일부에 한정되며, 기존 React Server Component CVE 대응 규칙이 새로운 DoS 취약점에도 적용
미들웨어 우회, SSRF, XSS 등 다수의 High 심각도 취약점은 WAF로 안전하게 차단할 수 없어 애플리케이션 코드 패치가 유일한 대응 수단
커스텀 WAF 규칙으로 대응 가능한 항목도 있으나, 글로벌 managed 규칙으로 적용 시 애플리케이션 동작을 깨뜨릴 위험이 존재
프레임워크 어댑터별 영향
Vinext: 아키텍처가 기본 Next.js와 달라 공개된 CVE에 취약하지 않음
PPR resume 프로토콜 미구현, Pages Router data-route 엔드포인트 미노출, x-nextjs-data 등 내부 헤더를 요청 경계에서 제거
추가 방어로 vinext init 시 React 19.2.6 이상을 요구하도록 변경
OpenNext: 어댑터 자체는 직접 취약하지 않으나, 사용자가 애플리케이션의 Next.js 버전을 직접 업데이트해야 함
▶ 원문 출처: https://news.hada.io/topic?id=29283