데브허브 | DEVHUB | Everyone's Talking About This React ExploitEveryone's Talking About This React Exploit
- React 서버 컴포넌트에서 인증되지 않은 원격 코드 실행(RCE)을 허용하는 치명적인 보안 취약점이 발견되었습니다. 🚨
- 이 취약점은 CVSS 점수 10.0 만점에 10.0으로 최고 수준의 심각성을 가집니다. 💥
- Next.js를 포함하여 React 서버 컴포넌트 및 서버 함수 엔드포인트를 사용하는 모든 애플리케이션이 영향을 받습니다. 🌐
- 취약점은 React가 서버 함수 엔드포인트로 전송된 페이로드를 디코딩하는 방식의 결함, 즉 안전하지 않은 역직렬화에서 비롯됩니다. 🔓
- 공격자는 조작된 HTTP 요청만으로 서버에서 임의의 코드를 실행할 수 있으며, Next.js의 기본 설정조차 취약합니다. 💻
- React 및 Next.js 팀은 즉시 마이너 패치 버전을 출시했으며,
npm update와 같은 명령어로 종속성을 업그레이드하는 것이 필수적입니다. ⬆️
- Vercel에 배포된 경우 방화벽 패치가 적용되었지만, 패키지 업그레이드는 여전히 권장됩니다. 🔥
- 서버를 전혀 사용하지 않는 순수 클라이언트 측 SPA는 이 취약점의 영향을 받지 않습니다. 🛡️
- 기술적으로는 사용자 입력으로 객체의 프로토타입 체인에 있는 속성에 접근하는 것을 막지 못해 발생했으며,
hasOwnProperty 검사를 추가하여 해결된 것으로 추정됩니다. 🛠️
- 아직 많은 사용자가 취약한 버전을 사용 중이므로, 기술적 세부 정보는 모든 패치 배포가 완료될 때까지 공개가 제한됩니다. 🤫
