안녕하세요. Sparrow Cloud 입니다.
최근 React Server Components 환경에서 인증되지 않은 원격 코드 실행(Remote Code Execution, RCE)이 가능한 보안 취약점 CVE-2025-55182가 공개되었습니다.
해당 취약점은 CVSS 10.0의 최고 등급으로 평가되었으며 다양한 개발 프레임워크 및 서비스 환경에서 악용이 가능해 즉각적인 조치가 필요합니다.
■ 개요
– CVE ID: CVE-2025-55182
– 영향 수준: Critical(CVSS 10.0)
– 영향 범위 및 해결 버전
(* 참고 사이트 : React 서버 컴포넌트 보안 업데이트 권고, NVD – CVE-2025-55182)
■ 조치 방안
– 프로젝트 점검
: React, Next.js 버전 확인 및 취약 버전 사용 여부 점검
– 패치 업데이트(상기 표 참고)
: React의 경우, 19.01 / 19.1.2 / 19.2.1 버전 이상으로 최신 업데이트 진행
: Next.js의 경우, 15.05 이상 또는 16.07 버전 이상으로 최신 업데이트 진행
■ Sparrow Cloud 취약 컴포넌트 식별 방법
스패로우 오픈소스 (SCA)를 통해 해당 취약점을 자동으로 탐지하고 위험 컴포넌트를 확인할 수 있습니다.
1. 대시보드
– Sparrow Cloud 접속 후 첫 화면에서 “프로젝트 추가하기” 버튼을 클릭하여 분석을 위한 새 프로젝트를 생성합니다.
2. 프로젝트 추가
– 프로젝트 이름을 입력하고 “추가하기” 버튼을 클릭하면 프로젝트가 생성됩니다.
– “새 분석 시작하기”버튼을 누르고, 소스 코드 압축 파일 또는 Git URL을 업로드하면 분석이 시작됩니다.
(Git 저장소 분석을 위해서는 “프로젝트 수정하기”에서 Git 인증을 먼저 진행해야 합니다.)
3. 프로젝트 대시보드
– 분석이 완료되면 프로젝트 홈에서 전체 취약점 개수와 위험도 분포를 확인할 수 있습니다.
4. 컴포넌트 탭
– 컴포넌트 탭에서 프로젝트에 포함된 모든 컴포넌트를 자동으로 식별합니다.
– 여기에서 아래 취약 패키지가 존재하는지 확인할 수 있습니다:
- next
- react-server-dom-parcel
- react-server-dom-turbopack
- react-server-dom-webpack
5. 컴포넌트 상세(Next.js)
– 컴포넌트명을 클릭하시면 상세 정보를 확인할 수 있습니다.
5-1. 컴포넌트 상세(react-server-dom-parcel)
5-2. 컴포넌트 상세(react-server-dom-turbopack)
5-3. 컴포넌트 상세(react-server-dom-webpack)
본 취약점은 공개 직후 실제 침해 사례가 보고될 만큼 빠르게 악용되고 있어 신속한 환경 점검과 패치 적용이 필수적입니다.
Sparrow Cloud는 이번 취약점으로 인한 귀사의 피해를 최소화하고 안정적 서비스 운영을 위해 적극 지원하겠습니다.
궁금하신 점은 언제든지 고객센터로 문의 주시기 바랍니다.
(문의) 기술/장애 02-6263-7400
