출처: https://nextjs.org/blog/CVE-2025-66478#required-action
개요
React Server Components(RSC) 프로토콜에서 치명적인 취약점이 발견되었습니다. CVSS 10.0 등급으로, 패치되지 않은 환경에서 공격자가 제어하는 요청을 처리할 경우 원격 코드 실행(RCE)이 발생할 수 있습니다.
이 취약점은 React 상위 구현(CVE-2025-55182)에서 비롯되었으며, 본 권고(CVE-2025-66478)는 App Router 기반 Next.js 애플리케이션에서의 영향 범위를 다룹니다.
영향(Impact)
취약한 RSC 프로토콜은 신뢰할 수 없는 입력이 서버 측 코드 실행 동작에 영향을 미치도록 허용했습니다. 특정 조건에서 공격자가 서버의 의도하지 않은 실행 경로를 유발하는 요청을 생성할 수 있으며, 이로 인해 원격 코드 실행이 발생할 수 있습니다.
영향받는 Next.js 버전
- Next.js 15.x
- Next.js 16.x
- Next.js 14.3.0-canary.77 이후 canary 빌드
영향받지 않는 버전
- Next.js 13.x
- Next.js 14.x 안정 버전
- Pages Router
- Edge Runtime
수정된 버전(Fixed Versions)
아래 버전에서 해당 취약점이 완전히 해결되었습니다:
- 15.0.5
- 15.1.9
- 15.2.6
- 15.3.6
- 15.4.8
- 15.5.7
- 15.6.0-canary.58
- 16.0.7
필수 조치(Required Action)
다음 명령어를 사용해 최신 패치 버전으로 업데이트해야 합니다.
npm install next@15.0.5
npm install next@15.1.9
npm install next@15.2.6
npm install next@15.3.6
npm install next@15.4.8
npm install next@15.5.7
npm install next@16.0.7
canary 버전을 사용 중이라면 안정 버전으로 내려가야 합니다:
npm install next@14
PPR 사용을 위해 canary 유지가 필요하다면:
npm install next@15.6.0-canary.58
발견(Discovery)
본 취약점을 발견하고 책임감 있게 보고한 Lachlan Davidson에게 감사드립니다.