인증이나 조작 없이 서버에 GET 전송하면 쉘을 설치할 수 있다고 합니다.
개요
React2Shell은 CVE-2025-55182 취약점을 가리키며, 2025년 11월 29일 Lachlan Davidson에 의해 보고된 보안 이슈입니다. 이 취약점은 React.js(CVE-2025-55182)와 Next.js(CVE-2025-66478)의 React Server Components(RSC) 기능에서 사용하는 Flight 프로토콜의 역직렬화 처리 과정에서 발생합니다. 공격자는 조작된 HTTP 페이로드를 전송하기만 해도 인증 없이 서버 측에서 임의의 코드를 원격으로 실행(RCE)할 수 있습니다. 해당 취약점은 Log4Shell에 비견될 정도로 심각하며, CVSS 점수 10.0을 받아 매우 위중한 보안 위협으로 평가되고 있습니다.