react-server-dom-webpack CWE-400 CWE-502 React Server Components 다중 DoS (CVE-2026-23864)
- 발행
- 2026년 1월 26일
- 최종 갱신
- 2026년 5월 9일
- 상태
- Active
- GHSA
- GHSA-83fc-fqcc-2hmg
요약
React Server Components 패키지(`react-server-dom-webpack` / `parcel` / `turbopack`) 19.0.0 ~ 19.2.3 의 서버 함수 엔드포인트가 조작된 HTTP 요청 처리 시 서버 충돌, 메모리 부족, 또는 과도한 CPU 사용을 야기할 수 있는 다중 DoS(CVSS 7.5) 권고입니다. 19.0.4 / 19.1.5 / 19.2.4 패치 버전으로 업그레이드해야 하며, 이후 5월 발견된 후속 DoS([CVE-2026-23870](./react-cve-2026-23870))까지 함께 적용하려면 19.0.6 / 19.1.7 / 19.2.6 으로 가는 것이 권장됩니다.
내 프로젝트는 영향받나요?
사용 중인 react-server-dom-webpack 버전을 입력하면 이 advisory의 영향 여부를 즉시 확인합니다.
ⓘ react-server-dom-webpack 패키지 버전을 입력하면 영향 여부를 즉시 확인합니다.
영향 범위
| 영향받는 범위 | 패치 버전 |
|---|---|
| >=19.2.0 <19.2.4 | 19.0.4 |
| >=19.1.0 <19.1.5 | 19.1.5 |
| >=19.0.0 <19.0.4 | 19.2.4 |
호스팅 환경별 영향
이 권고는 React Server Components 의 서버 함수 엔드포인트를 외부에 노출하는 모든 환경에 영향을 줍니다.
- Next.js App Router (15.x / 16.x): 영향받음. Next.js 패치 릴리즈에 함께 포함되었으므로 Next.js 자체를 패치 버전으로 업그레이드해도 해소.
- Vercel / Netlify / Cloudflare Pages: 영향받음. 호스팅 어댑터와 무관하게 RSC 런타임이 동일한 패키지를 사용.
- Self-host Node.js: 영향받음. 직접 RSC 통합을 운영하는 경우
react-server-dom-*패키지 버전을 직접 점검해야 함. - Parcel / Turbopack 직접 사용: 영향받음. 같은 메이저 라인의 패치 버전으로 일괄 업그레이드 필요.
취약점 메커니즘
React Server Components 는 클라이언트 → 서버 함수 호출의 RSC 페이로드를 역직렬화한 뒤 실행합니다. 이전 DoS 수정(CVE-2025-XXXX 라인)이 완전하지 않아 페이로드 구조의 다양한 변형을 통해 다음과 같은 결과가 여전히 가능했습니다.
- 서버 프로세스 충돌 (Server Crash)
- Node.js 힙 메모리 고갈 →
Out of Memory예외 - 직렬화/역직렬화 단계에서의 과도한 CPU 사용 → 응답 지연 → 같은 인스턴스의 다른 요청까지 영향
CVSS 7.5(High)가 부여된 이유는 (1) 인증 없이 누구나 시도 가능하고, (2) 단일 요청만으로 가용성을 떨어뜨릴 수 있으며, (3) RSC를 사용하는 모든 Next.js App Router 프로젝트가 광범위하게 영향받기 때문입니다.
참고: 이 권고가 패치된 이후에도 React 팀과 외부 보고자들의 추가 분석 과정에서 또 다른 DoS 변종이 발견되어 5월 6일 CVE-2026-23870으로 별도 권고가 공개되었습니다. 1월 권고만 적용한 환경은 5월 권고에 다시 노출됩니다.
패치 코드 예시
1. 패치 버전으로 업그레이드 (권장)
이 권고만 해소하려면 다음 최소 버전 이상으로 업그레이드합니다.
# React 19.0.x 사용 중
npm install [email protected] \
[email protected] \
[email protected]
# React 19.1.x 사용 중
npm install [email protected] \
[email protected] \
[email protected]
# React 19.2.x 사용 중
npm install [email protected] \
[email protected] \
[email protected]2. 5월 후속 DoS까지 한 번에 해소 (권장)
이 권고와 5월 발견된 후속 DoS(CVE-2026-23870) 를 한 번의 업그레이드로 해소하려면 더 최신 패치로 갑니다.
# React 19.0.x 사용 중
npm install [email protected] \
[email protected] \
[email protected]
# React 19.1.x 사용 중
npm install [email protected] \
[email protected] \
[email protected]
# React 19.2.x 사용 중 (가장 권장)
npm install [email protected] \
[email protected] \
[email protected]3. Next.js 사용자
Next.js App Router 사용자는 RSC 패키지를 직접 다루지 않으므로 Next.js 자체를 패치 버전으로 업그레이드하면 됩니다. 5월 통합 릴리즈(nextjs-2026-05-security-release)에 1월/5월 DoS가 모두 포함되어 있어 한 번의 업그레이드로 해소됩니다.
npm install [email protected] # 15.x 라인
npm install [email protected] # 16.x 라인
npm install next@latest # 최신 안정4. 임시 완화 방안 (패치 적용 전)
CVE-2026-23870 와 동일한 완화 방안이 적용됩니다.
- 요청 본문 크기 제한: 리버스 프록시(Nginx, Cloudflare, AWS ALB) 또는 WAF에서 RSC 엔드포인트의 요청 본문 크기를 사용 패턴에 맞춰 제한.
- 요청 빈도 제한: 동일 IP에서 단시간 다량의 RSC 요청이 들어올 경우 차단 또는 throttle.
- 타임아웃 단축: Node.js 런타임의 요청 타임아웃을 짧게 설정해 단일 요청이 전체 인스턴스를 점유하지 못하도록 격리.
정리
CVE-2026-23864 는 React Server Components 의 서버 함수 처리 경로에서 이전 DoS 수정이 완전하지 않아 발견된 다중 DoS 권고입니다. RSC 또는 Next.js App Router 를 사용하는 모든 프로젝트는 이 권고와 5월 후속 권고(CVE-2026-23870)를 함께 해소할 수 있는 최신 패치 버전으로 업그레이드하는 것이 가장 효율적입니다.
참고 자료
- GHSA-83fc-fqcc-2hmg (GitHub Advisory) (새 탭에서 열림)
- React 공식 — DoS and Source Code Exposure in RSC (새 탭에서 열림)
- Akamai — CVE-2026-23864 분석 (새 탭에서 열림)
- Endor Labs — RCE/DoS 분석 (새 탭에서 열림)
Credits
- · mufeedvh
- · Ry0taK
- · jviide
- · marckwei
ConfigDeck으로 설정 파일 업데이트하기
관련 설정 파일을 ConfigDeck에서 빠르게 생성합니다.
설정 파일 생성기 →AI 코딩 도구 설정도 점검하세요
Cursor, Copilot, Claude Code 등 AI 코딩 도구 설정을 안내합니다.
AI Config 보기 →