Next.js 보안 업데이트: React Server Components 취약점

React Server Components의 두 가지 취약점이 발견됨

DoS(Denial of Service) 공격으로 서버가 다운될 수 있음

소스 코드 노출을 통해 민감 정보가 유출될 수 있음

DoS 공격의 기술적 원리

App Router 엔드포인트에 특수하게 조작된 HTTP 요청을 전송하여 무한 루프를 발생시킨다. 구체적으로, 요청을 역직렬화하는 과정에서 서버 프로세스가 멈추고, 추가 HTTP 요청 처리 불가 상태가 된다. 따라서, 서비스 거부 공격으로 이어진다.

소스 코드 노출 취약점 분석

특정 HTTP 요청을 통해 Server Function의 소스 코드를 노출하여 비즈니스 로직을 파악할 수 있다. 환경 변수가 아닌 코드 내에 직접 정의된 민감 정보가 노출될 위험이 있다. 따라서, 보안 취약점 악용을 방지하기 위해 최신 버전으로 업데이트해야 한다.

Next.js 버전별 패치 적용 방법

Next.js는 App Router를 사용하는 애플리케이션에 영향을 미치며, 버전별로 패치 적용 방법이 상이하다. npm install next@<version> 명령어를 사용하여 패치를 적용하고, npx fix-react2shell-next 도구를 활용하여 버전 호환성을 검사한다. 따라서, 최신 패치 적용을 통해 보안 위험을 최소화해야 한다.