Next.js · React Server Components 기반 서비스에서
React2Shell(CVE-2025-55182)의 실제 Exploit 가능성을 판단합니다.
React2Shell(CVE-2025-55182)의 실제 Exploit 가능성을 판단합니다.
📌 단순 취약 여부가 아니라 공격이 가능한지 여부를 안전하게 검증합니다.
FAQ
React2Shell 스캐너와 관련해 자주 문의하시는 내용을 정리했습니다. 추가로 궁금하신 점이 있다면 ZIEN으로 별도 문의를 남겨주세요.
안전합니다.
스캐너는 공개된 PoC를 기반으로 하되, 명령 실행 이전 단계(역직렬화)까지만 검사하도록 제한되어 있습니다.
이에 따라, 파일 생성, DB 수정, 쉘 실행 등의 공격이 포함되지 않습니다.
스캐너는 공개된 PoC를 기반으로 하되, 명령 실행 이전 단계(역직렬화)까지만 검사하도록 제한되어 있습니다.
이에 따라, 파일 생성, DB 수정, 쉘 실행 등의 공격이 포함되지 않습니다.
RSC 미사용, 내부 노출, 접근 제한, 환경 설정 등의 조건에 따라 취약 버전이라도 스캐너라 감지할 수 없는 경우 가 존재합니다.
즉, 개별 서비스에 대한 SBOM/VEX 분석을 통해 서비스 별 대응 수준을 결정해야 합니다.
즉, 개별 서비스에 대한 SBOM/VEX 분석을 통해 서비스 별 대응 수준을 결정해야 합니다.
상황VEX 판단대응
스캐너 감지됨Affected즉시 패치
스캐너 미감지 (접근 제한/내부망)VEX 분석 필요대응방안 결정 필요
스캐너 미감지 (RSC 미사용)VEX 분석 필요대응방안 결정 필요
스캐너 미감지 (버전/구성 불명확)VEX 분석 필요대응방안 결정 필요
스캐너 미감지 (그 외 환경)VEX 분석 필요대응방안 결정 필요
📌 SBOM, VEX 란
용어역할
SBOM (Software Bill of Materials)어떤 라이브러리/버전을 쓰는지 위치를 파악
VEX (Vulnerability Exploitability eXchange)해당 취약 버전이 실제 공격 가능한지 판단
React2Shell은 외부에서 단 한 번의 요청만으로 RCE가 가능한 취약점이기 때문에, 대응의 우선순위가 매우 중요합니다.
조직이 가장 효율적으로 리스크를 줄이기 위해서는 아래 순서대로 대응하시기를 권장드립니다.
조직이 가장 효율적으로 리스크를 줄이기 위해서는 아래 순서대로 대응하시기를 권장드립니다.
1) 외부 노출 서비스 우선 점검 (스캐너 사용)
가장 먼저 해야 할 일은 인터넷에 노출되어 있는 서비스의 실제 공격 가능성을 확인하는 것입니다.
✔ 공개 URL 중심으로 즉시 스캔
✔ 공격 벡터가 열려 있는 서비스부터 우선 대응
✔ 최소한의 시간으로 가장 큰 리스크 제거
🔗 React2Shell 무료 스캐너
https://react2shell-scanner.zi-en.io/2) 취약 버전 사용 여부 확인 (전 서비스 조사)
외부 서비스부터 1차 위험을 줄였다면, 이제 조직 내부 서비스도 포함하여 다음 항목을 순차적으로 확인해야 합니다.
3) 실제 운영 환경 분석
같은 취약 버전이라도 실제 공격 가능성은 환경 구성에 따라 달라질 수 있기 때문에,
실제 취약점 영향도를 파악하는 과정이 요구됩니다.
4) 패치 적용 및 서비스별 일정 관리
버전 업데이트를 적용하고 각 서비스별로 패치 여부 및 일정을 관리합니다.
5) 재발 방지를 위해 SBOM 체계 구축
React2Shell처럼 CVE 취약점은 앞으로도 반복됩니다.
그리고 그때마다 “전사 버전 조사 → 영향 파악 → 우선순위 결정”을 수작업으로 하면 대응 속도가 크게 떨어집니다.
그래서 필요한 것이 SBOM 기반 대응 체계입니다.
- 어떤 서비스가 어떤 라이브러리를 쓰는지 자동 파악
- 신규 CVE가 발표되면 즉시 영향 범위 산출
- 패치 우선순위 자동 결정
- VEX 분석으로 불필요한 패치 제거
SBOM을 구축하면:
📌 즉, 이번과 같은 비상 상황에서도 조직 전체가 빠르고 정확하게 움직일 수 있는 기반이 생깁니다.