리액트 팀이 2025년 12월과 2026년 1월에 걸쳐 React Server Components(RSC)에서 새롭게 발견된 보안 취약점을 공개했습니다. 이는 지난번 원격 코드 실행(RCE) 취약점 패치 이후 발견된 추가적인 문제점으로, 서비스 거부(DoS) 공격과 소스 코드 노출로 이어질 수 있습니다. 서버 컴포넌트를 사용하는 모든 프로젝트는 즉각적인 조치가 필요합니다. 자세한 내용은 React 공식 블로그를 근거자료로 확인할 수 있습니다.

Server security shield with React logo System Abstract Visual

🔥 취약점 요약 및 영향 받는 버전

이번에 공개된 취약점은 총 두 가지 범주로, 높은 심각도를 가진 DoS 공격과 중간 심각도의 소스 코드 노출입니다.

취약점 유형CVE 번호CVSS 점수심각도주요 영향
서비스 거부 (DoS)CVE-2025-55184, CVE-2025-677797.5높음서버 프로세스 정지, CPU 과도 사용
서비스 거부 (DoS)CVE-2026-238647.5높음서버 다운, 메모리 부족 예외
소스 코드 노출CVE-2025-551835.3중간Server Function 소스 코드 유출

영향 받는 패키지 및 버전: react-server-dom-webpack, react-server-dom-parcel, react-server-dom-turbopack19.0.0 ~ 19.2.3 버전이 취약합니다.

즉시 업그레이드해야 할 안전한 버전: 19.0.4, 19.1.5, 19.2.4 이상입니다.

Data center server rack with warning sign Development Concept Image

🛡️ 실무 개발자를 위한 조치 가이드

  1. 의존성 확인 및 업데이트:

    // package.json 예시
{
  "dependencies": {
    // 반드시 다음 버전 중 하나로 업데이트하세요.
    "react-server-dom-webpack": "^19.2.4",
    "react-server-dom-turbopack": "^19.2.4"
    // react와 react-dom은 버전 불일치 오류를 피하기 위해 기존 버전 유지 가능
  }
}

    터미널에서 npm update 또는 yarn upgrade를 실행하세요.

  2. 프레임워크 사용자: Next.js, React Router, Waku 등을 사용한다면 해당 프레임워크도 최신 버전으로 업데이트해야 합니다.

  3. React Native 사용자: 모노레포를 사용하지 않는다면 별도 조치가 필요 없습니다. 모노레포 사용 시 위의 취약한 서버 패키지만 업데이트하면 됩니다.

  4. 호스팅 제공업체 완화 조치: Vercel 등 주요 호스팅 업체는 임시 조치를 적용했지만, 이에 의존하지 말고 반드시 직접 패치를 적용하세요.

Web development code on screen with lock icon Software Concept Art

💡 결론 및 핵심 포인트

이번 취약점은 악의적인 HTTP 요청을 통해 서버 리소스를 고갈시키거나, 실수로 작성된 Server Function의 소스 코드를 유출할 수 있다는 점에서 주의가 필요합니다. 특히 DoS 공격은 서비스 가용성에 직접적인 영향을 미치므로 즉시 업데이트하는 것이 최선의 대응책입니다.

서버 컴포넌트를 사용하지 않는다면 영향을 받지 않지만, 사용 중인 프레임워크나 번들러가 RSC를 지원한다면 간접적으로 영향을 받을 수 있습니다. 보안 패치 적용 후에도 서버 모니터링을 강화하여 이상 징후를 빠르게 감지하는 것이 좋습니다. 보안은 한 번의 업데이트가 아닌 지속적인 과정임을 잊지 마세요.