2025년 보안 연구원 라클란 데이비슨(Lachlan Davidson)이 메타 측에 제보한 React 프레임워크 취약점이다. 전세계 클라우드 39%에 영향을 미칠 수 있는 강한 파급력으로 Log4j와 같은 등급 CVSS 10.0을 받았다. 핵심 원리는 서버 컴포넌트의 데이터 전송 규약인 RSC 페이로드를 악의적으로 조작해 공격하는 방식이었으며, 해당 페이로드는 서버 측에서 파싱 과정 중 프로토타입 속성을 조작해 공격자 shell 원격 실행이 가능하도록 설정했다. 이는 prototype 상속을 하는 JavaScript 특성을 이용한 것이며, 이러한 현상을 프로토타입 오염(Prototype Pollution)이라고 한다. WAF에 해당 페이로드 타입을 설정하거나 React 19.0 이상으로 패치하여 방지할 수 있다.
'Personal > 뉴스' 카테고리의 다른 글
| Waymo suspends service after power outage hit San Francisco (0) | 2025.12.22 |
|---|