React 및 Next.js에서 다수의 보안 취약점 공개 — 즉시 패치 권고
2026년 5월 6일, Vercel과 React 팀은 React Server Components와 Next.js에 영향을 미치는 13개의 보안 취약점을 공개했다. 이 중 3개의 고 severity 취약점은 공격자가 인증을 우회하고 서버를 장악할 수 있어 즉각적인 패치 조치가 필요한 상황이다.
🔴 3대 고위험 취약점
CVE-2026-44574: 미들웨어 & 프록시 우회
동태 라우트 파라미터 주입을 통해 Next.js 미들웨어를 우회할 수 있는 취약점이다. 미들웨어는 일반적으로 인증의 게이트키eper로 사용되므로, 이를 우회하면 유효한 자격 증명 없이 보호된 라우트에 접근할 수 있다.
Cloudflare는 Managed WAF 규칙으로 이 공격을 안전하게 차단할 수 없다고 공식 확인했다.방호 규칙을 설정하면 정당한 애플리케이션 동작까지 깨질 수 있기 때문이다.
영향 받는 버전: Next.js 13.x ~ 16.x (Turbopack 미들웨어.ts 포함)
패치 버전: Next.js 15.5.16 / 16.2.5 (Turbopack 사용자는 15.5.18 / 16.2.6)
CVE-2026-44578: 서버사이드 요청 위조(SSRF)
WebSocket 업그레이드 요청을 처리하는 애플리케이션에서 SSRF 취약점이 발견되었다. 공격자는 서버를 속여 내부 시스템으로 아웃바운드 요청을 수행하게 할 수 있다.
이를 통해 클라우드 메타데이터 엔드포인트 탐색이나 내부 인프라로의 피벗이 가능해진다.
영향 받는 버전: Next.js (자가 호스팅 배포에만 영향, Vercel 플랫폼 호스팅은 영향 없음)
패치 버전: Next.js 15.5.16 / 16.2.5
CVE-2026-44581: CSP 논스 기반 XSS
App Router 애플리케이션에서 CSP(Content Security Policy) 논스를 사용하는 환경에서 교차 사이트 스크립팅(XSS) 벡터가 발견되었다.
CSP 논스는 XSS를 방지하기 위해 배포되는 단일 사용 토큰인데, 이 메커니즘을 역이용하는 취약점이라아이러니이 크다.
영향 받는 버전: Next.js App Router + CSP 논스 사용 애플리케이션
패치 버전: Next.js 15.5.16 / 16.2.5
그 외 취약점 목록
| 취약점 | 유형 | Severity |
|---|---|---|
| 미들웨어/프록시 우회 | 인증 우회 | 높음 |
| SSRF | 서버 요청 위조 | 높음 |
| CSP 우회 XSS | 스크립트 주입 | 높음 |
| Denial of Service | 서비스 장애 | 중간~높음 |
| 캐시 포이즈닝 | 캐시 변조 | 중간 |
📋 즉시 해야 할 것
1단계: Next.js 버전 확인
프로젝트의 package.json에서 현재 버전을 확인한다:
cat package.json | grep '"next"'2단계: 최신 버전으로 업데이트
# Next.js 업데이트npm install next@latest# React Server Components 패키지 업데이트npm install react-server-dom-webpack@latest react-server-dom-parcel@latest react-server-dom-turbopack@latest3단계: Turbopack 사용자 주의
Turbopack 번들러를 사용하는 개발자는 초기 패치로 미들웨어.ts 우회가 완전히 해결되지 않았다. 반드시 다음 버전으로 업데이트해야 한다:
• Next.js 15.5.18 이상
• Next.js 16.2.6 이상
4단계: 메타프레임워크 확인
TanStack Start, OpenNext, Vinext 등 React 메타프레임워크를 사용하는 경우, 해당 라이브러리도 반드시 업데이트해야 한다.
> TanStack 크리에이터는 TanStack Start는 이번 CVEs의 영향을 받지 않는다고 공식 확인했다.
WAF는 패치 대체제가 아닙니다
이 취약점들 중 상당수는 아키텍처적으로 WAF 규칙만으로 차단하는 것이 불가능하다. Cloudflare 자체가 "WAF 커버리지를 패치 대용으로 삼지 말라"고 밝혔다.
즉, 네트워크 레벨 방화벽을 얼마나 잘 설정했든, 애플리케이션 레벨 패치가 유일한 실제 해결책이다.
패치 버전 요약
| 패키지 | 영향 받는바지요은 | 패치 버전 |
|---|---|---|
| Next.js | 13.x ~ 16.x | 15.5.16 / 16.2.5 |
| Next.js (Turbopack) | 13.x ~ 16.x | 15.5.18 / 16.2.6 |
| react-server-dom-webpack | 19.0.x | 19.0.6 |
| react-server-dom-parcel | 19.1.x | 19.1.7 |
| react-server-dom-turbopack | 19.2.x | 19.2.6 |
결론
이번 취약점 공개는 Next.js와 React Server Components를 사용하는 거의 모든 프로덕션 배포에 영향을 미친다. 특히 인증 미들웨어 우회와 SSRF는 심각한 보안 위험을 초래할 수 있다.
지금 즉시 프로젝트의 Next.js 버전을 확인하고 최신 패치 버전으로 업데이트하는 것을 권장한다. WAF나 보안 모듈에 의존하지 말고, 반드시 애플리케이션 코어 자체를 최신 상태로 유지해야 한다.
tags: React, Next.js, 보안, 취약점, CVE, Vercel, SSRF, XSS, 미들웨어, 패치
📚 출처
'자동화&툴 리뷰' 카테고리의 다른 글
| CodeBurn - AI 코딩 도구 토큰 사용량/비용 추적 TUI 대시보드 완벽 가이드 (0) | 2026.05.11 |
|---|---|
| 내 삶에 의미(부족)를 주기 위해 aarch64 어셈블리로 웹 서버 만들기 (0) | 2026.05.11 |
| Show GN: Obsidian Vault Terminal — 사이드바에서 Claude Code를 실행하는 올바른 방법 (0) | 2026.05.09 |
| Toprank - SEO 및 광고 관리용 Claude Code 플러그인 완벽 가이드 (0) | 2026.05.08 |
| 에이전트가 Cloudflare 계정을 만들고 도메인을 구매하며 배포까지 수행하는 방법 (0) | 2026.05.08 |