리액트 서버 컴포넌트(React Server Com<a href="https://m-modoomoa.com/%EC%9B%B9%EC%82%AC%EC%9D%B4%ED%8A%B8-%EB%A7%88%EC%BC%80%ED%8C%85/" target="_blank" >웹사이트 상위노출</a> ponents, RSC)에서 인증 없이 원격 코드 실행이 가능한 중대한 보안 취약점이 공개됐다. 전 세계 웹 애플리케이션 상당수가 RSC 기반으로 구축된 만큼, 이번 취약점은 “현대 웹 생태계 전체를 뒤흔드는 심각한 이슈”라는 평가가 나온다.

리액트(React)는 웹사이트 화면을 만드는 데 사용되는 자바스크립트 라이브러리다. 페이스북(현 메타)이 만들었고, 전 세계 개발자들이 가장 많이 사용하는 프론트엔드 기술 중 하나다.

리액트 팀은 3일 보안 알림을 통해 이번 문제를 공식 확인하며 즉각적인 업그레이드를 권고했다. 특히 이 취약점은 공격자가 로그인 과정 없이 악성 요청만 전송해도 서버에서 임의 코드를 실행할 수 있어, 서비스 운영자 입장에서는 치명적인 상황이 발생할 수 있다.

“요청 하나로 서버에서 코드 실행”…구조적 결함이 문제

문제가 된 부분은 리액트가 서버로 전달되는 RSC 페이로드를 처리하는 방식이다. 정상적인 처리 과정에서 객체 구조를 검증해야 하는데, 이 검증이 제대로 이루어지지 않으면서 공격자가 조작한 페이로드가 서버 내부에서 그대로 실행되는 상황이 발생했다.

쉽게 표현하면, 서버가 ‘사용자가 보낸 데이터’를 코드처럼 실행해버리는 구조적 오류가 있었던 것이다.

리액트 팀은 “앱이 명시적으로 서버 펑<a href="https://m-modoomoa.com/%EC%9B%B9%EC%82%AC%EC%9D%B4%ED%8A%B8-%EB%A7%88%EC%BC%80%ED%8C%85/" target="_blank" >웹사이트 상위노출</a> 션을 구현하지 않았