CVE-2025-55182

React와 Next.js에서 원격 코드 실행이 가능한 취약점 CVE-2025-55182(React2Shell)

About

• React 서버 컴포넌트에서 인증 없이 임의 코드를 실행할 수 있는 원격 코드 실행(RCE) 취약점이 발견되어 즉시 업그레이드 필요
• Next.js도 영향을 받으며, App Router 기능을 사용하는 경우 취약함. Next.js는 이를 CVE-2025-66478로 추적 중임
• 취약점의 근본 원인은 서버 측 프로토타입 오염(server-side prototype pollution) 으로, 공격자가 JavaScript 객체의 프로토타입을 조작해 child_process.execSync 등으로 명령 실행 가능
• 공개 PoC(개념증명) 코드가 빠르게 확산되었고, Datadog은 12월 5일 기준 800개 이상의 IP에서 실제 공격 시도를 탐지함
• CVSS 점수 10점으로 평가된 이 취약점은 Next.js 15.x~16.x 버전에서 특히 심각하며, 최신 패치 적용이 필수적임

See also

• React
• Next.js

Favorite site

• React와 Next.js에서 원격 코드 실행이 가능한 취약점 CVE-2025-55182( | GeekNews
  • [원문] CVE-2025-55182 (React2Shell): Remote code execution in React Server Components and Next.js | Datadog Security Labs