CVE-2025-59471 및 CVE-2025-59472 요약

셀프 호스팅 (self-hosted) Next.js 애플리케이션에서 중등도 심각도의 두 가지 서비스 거부 (denial-of-service, DoS) 취약점이 발견되었습니다. 두 문제 모두 특정 구성 하에서 메모리 고갈을 유발하여 서버 충돌을 일으킬 수 있습니다. 데이터 노출이나 권한 상승은 불가능합니다. Vercel 플랫폼에 호스팅된 애플리케이션은 이러한 문제에 영향을 받지 않으며, 고객 측의 조치也不需要하지 않습니다. (CVSS 5.9)

CVE-2025-59471는 외부 이미지 최적화가 .next.config.js 파일의 remotePatterns 설정을 통해 활성화되어 있는 경우 Image Optimizer에 영향을 미칩니다. 해당 엔드포인트 (/_next/image) 는 최대 크기를 강제하지 않고 원격 이미지를 메모리에 완전히 로드하여, 허용된 도메인에 호스팅된 매우 큰 이미지를 사용하여 공격자가 메모리 부족 (out-of-memory) 상태를 유발할 수 있게 합니다.

CVE-2025-59472는 최소 모드 (minimal mode) 에서 Partial Pre-Rendering (PPR) 이 활성화되어 있는 애플리케이션에 영향을 미칩니다. PPR 재개 엔드포인트 (PPR resume endpoint) 는 인증 없이 POST 요청을 수락하고 공격자가 제어할 수 있는 데이터를 처리하여, 무제한 요청 버퍼링이나 압축을 통해 메모리 고갈을 유발할 수 있습니다.

두 취약점 모두 메모리 고갈로 인해 Node.js 프로세스가 종료되어 애플리케이션 다운타임을 초래할 수 있습니다. CVE-2025-59471 는 외부 이미지 최적화가 활성화되어 있고 공격자가 허용된 도메인에 큰 이미지를 제어해야 하며, CVE-2025-59472 는 experimental.ppr: true, cacheComponents: true 또는 NEXT_PRIVATE_MINIMAL_MODE=1 환경 변수 설정과 같은 or 구성 옵션을 사용하는 애플리케이션에만 영향을 미칩니다.

수정됨 (Fixed in): 15.5.10, 15.6.0-canary.61, 16.1.5, 16.2.0-canary.9

우회 방법 (Workaround): 즉시 업그레이드가 불가능한 셀프 호스팅 배포를 위한 조치입니다.

• untrusted remotePatterns 를 제한하거나 제거하세요.
• Partial Pre-Rendering 또는 최소 모드를 비활성화하세요.
• 리버스 프록시 레이어에서 엄격한 요청 크기 제한을 적용하세요.

우리는 책임 있는 공개를 통해 버그 bounty 프로그램에 기여한 Andrew MacPherson 에게 감사드립니다.

더 읽기 (Read more): Summary, Affected Versions, Impact, Resolution, Credit, References

영문 참고: GHSA CVE-2025-59471, GHSA CVE-2025-59472