2025년 IT·보안 커뮤니티는 지금 ‘React2Shell(리액트투쉘)’이라는 이름 하나로 술렁이고 있다. CVSS 10.0 등급이 부여된 신규 취약점 CVE-2025-55182가 공개되면서 전 세계 개발자와 보안전문가들은 “2025년판 Log4Shell”이라는 표현까지 사용하며 심각성을 경고하고 있다.

데일리시큐 취재 결과, 중국 해커 커뮤니티에서는 이미 해당 취약점을 활용한 공격 테스트가 본격적으로 시작된 정황이 확인됐고, 국내 노출 서버 수는 18만 9천여 개에 달하는 것으로 나타났다.

데일리시큐 취재팀은 관련 공격 로그, FOFA 검색 기록, PoC 실행 장면 등을 전문가와 직접 분석했으며, 그 결과 한국 내 18만 9,082대의 React·Next.js 기반 시스템이 인터넷에 그대로 노출돼 있다는 사실이 확인됐다.

 

■ “기본 설정만으로 털린다”…RSC 구조적 결함이 만든 최악의 버그

CVE-2025-55182는 단순한 소프트웨어 버그가 아니다. RSC 직렬화 프로토콜의 구조적 결함 때문에 개발자가 별도로 실수를 하지 않아도 기본 설정(default config)만으로 공격이 가능하다. 인증도 필요 없다.

전 세계 보안 전문가들이 “2025년판 Log4Shell”이라고 부르는 이유다.

취약점 검사 도구 React2Shell Checker가 여러 경로를 스캔하고 있으며, 일부 엔드포인트가 안전(Safe) 또는 위험(Vulnerable) 상태로 표기되는 모습이다.

위 이미지는 이미 여러 연구자들이 RSC 기반 서버에서 자동화 스캐닝을 수행하고 있음을 보여준다.

문제는, 공격자에게는 이 도구들이 취약점 탐색용 무기가 된다는 점이다.

 

■ 중국 해커, RCE 성공 테스트 진행 중…공격 테스트 완료

중국 해커 커뮤니티에서 포착된 자료에 따르면, 공격자들은 이미 Next.js 기반 서비스에 React2Shell PoC를 주입하고, DNSLog 서비스로 결과를 수집하며 공격 벡터를 검증하고 있었다.

Burp Repeater로 조작된 페이로드를 전송하고, 서버가 외부 DNS 기록을 생성하는 모습. 공격 성공 여부를 실시간으로 확인 중임을 의미한다.

이미 공격자들은 다음과 같은 단계까지 완료한 상태다.

▲대상 서버에 페이로드 업로드 ▲RSC 직렬화 취약점 유발 ▲외부 DNSLog로 명령 실행 성공 여부 확인 ▲서버 측에서 child_process 실행 가능성 검증.

이는 더 이상 ‘이론적 취약점’이 아니라, 실행 가능한 공격 벡터가 이미 완성됐다는 증거다.

 

출처 : 데일리시큐(https://www.dailysecu.com/news/articleView.html?idxno=203111)

 

업데이트 필요한 버전들!

취약한 React 라이브러리:
react-server-dom-parcel, react-server-dom-webpack, react-server-dom-turbopack
취약 버전: 19.0~19.2.0 / 패치 버전: 19.0.1, 19.1.2, 19.2.1

Next.js 영향 버전
취약: 15.x, 16.x, 14.3.0-canary.77 이후
패치: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7