CVE-2026-23864 요약

영향 및 해결 방법
React Server Components 의 여러 고위험 취약점이 책임 있는 공개 (responsible disclosure) 를 통해 보고되었습니다. 특히, 이러한 취약점은 원격 코드 실행 (Remote Code Execution) 을 허용하지 않습니다. 우리는 이러한 취약점을 해결하기 위한 새로운 규칙을 작성하여 Vercel WAF 에 배포했으며, 이를 통해 Vercel 호스팅의 모든 프로젝트를 무료로 자동으로 보호하고 있습니다. 그러나 WAF 를 완전한 보호 수단으로 의존해서는 안 됩니다. 패치된 버전으로 즉시 업그레이드가 필요합니다.

CVE-2026-23864 는 React Server Components 의 여러 서비스 거부 (DoS) 취약점을 해결합니다. 이 취약점은 서버 함수 엔드포인트 (Server Function endpoints) 로 특수 제작된 HTTP 요청을 보내는 경우 발생하며, 서버 충돌, 메모리 부족 예외 또는 과도한 CPU 사용으로 이어질 수 있습니다. 이는 실행되는 취약 코드 경로, 애플리케이션 구성 및 애플리케이션 코드에 따라 달라집니다.

영향을 받는 버전
이러한 취약점은 다음 패키지의 19.0.x, 19.1.x, 19.2.x 버전에 존재합니다:

• react-server-dom-parcel
• react-server-dom-webpack
• react-server-dom-turbopack

다음 프레임워크 및 번들러에 이 패키지들이 포함됩니다:

• Next.js
• 기타 React Server Components 구현을 내장하거나 의존하는 다른 프레임워크 및 플러그인 (예: Vite, Parcel, React Router, RedwoodSDK, Waku)

해결 방법
이 취약점을 해결하기 위한 완화 조치 (mitigations) 를 작성한 후, 우리는 전 세계적으로 분산된 플랫폼 전체에 이를 배포하여 고객들을 보호했습니다. 여전히 최신 패치 버전으로 업그레이드를 권장합니다.

React 와 관련된 하류 프레임워크의 업데이트 릴리스에는 이 문제를 방지하기 위한 수정 사항이 포함되어 있습니다. 모든 사용자는 가능한 한 빨리 패치된 버전으로 업그레이드해야 합니다. aforementioned packages 를 사용하는 프레임워크 및 번들러는各自的 유지 관리자가 제공하는 최신 버전을 설치해야 합니다.

감사의 말
우리는 책임 있는 공개에 기여한 다음 개인과 조직에 감사드립니다:

• Mufeed VH (Winfunc Research)
• Joachim Viide
• RyotaK (GMO Flatt Security)
• Xiangwei Zhang (Tencent Security YUNDING LAB)

참고 링크

• React GHSA
• Next.js GHSA