1. 개요
CVE-2025-55182. Meta의 React 라이브러리, 그 중에서도 React Server Components(RSC)를 사용하는 환경에서 발견된 치명적인 보안 취약점 사태.Log4Shell에 빗대어 React2Shell이라 부르며, 모던 웹 생태계 전반에 걸쳐 심각한 위협으로 간주하고 있다.
2. 설명
2.1. 원리
이 취약점은 React가 서버와 클라이언트 간 데이터를 교환하는 Flight 프로토콜의 직렬화(Serialization) 과정에서 발생한다.공격자가 HTTP 요청에 특수하게 조작된 객체를 포함하여 전송하면, 서버가 이를 역직렬화(Deserialization)하는 과정에서 검증 없이 코드를 실행하게 된다. 이를 통해 공격자는 인증 절차 없이 서버의 제어권을 탈취할 수 있다(RCE).
2.2. 경위
2025년 11월 29일, 보안 연구원 Lachlan Davidson이 Meta의 버그 바운티 프로그램을 통해 제보하였다. RSC의 데이터 전송 로직에서 입력값에 대한 타입 검증이 미흡했던 것이 원인으로 밝혀졌다.3. 전개
2025년 12월 3일, React 팀과 Vercel(Next.js 개발사)은 패치를 배포하고 보안 권고문을 게시했다. 해당 취약점은 CVE-2025-55182로 등록되었으며, CVSS 점수 10.0점 만점을 기록했다.12월 4일부터 GitHub 등을 통해 개념 증명(PoC) 코드가 공개되었으며, Cloudflare와 AWS 등은 실제 공격 시도가 감지되고 있다고 보고했다.