Next.js 버전 15.2.3 보안 취약점 해결 출시

CVE-2025-29927

Next.js 버전 15.2.3이 보안 취약점(CVE-2025-29927)을 해결하기 위해 출시됨. next start와 output: 'standalone'을 사용하는 모든 자체 호스팅 Next.js 배포는 즉시 업데이트할 것을 권장함.

타임라인

• 2025-02-27T06:03Z: GitHub 비공개 취약점 보고를 통해 Next.js 팀에 공개됨
• 2025-03-14T17:13Z: Next.js 팀이 보고서 검토 시작
• 2025-03-14T19:08Z: Next.js 15.x에 대한 패치 배포
• 2025-03-14T19:26Z: Next.js 14.x에 대한 패치 배포
• 2025-03-17T22:44Z: Next.js 14.2.25 출시
• 2025-03-18T00:23Z: Next.js 15.2.3 출시
• 2025-03-18T18:03Z: GitHub에서 CVE-2025-29927 발행
• 2025-03-21T10:17Z: 보안 권고문 발표
• 2025-03-22T21:21Z: Next.js 13.5.9 출시
• 2025-03-23T06:44Z: Next.js 12.3.5 출시

취약점 세부 사항

• Next.js는 무한 루프를 방지하기 위해 내부 헤더 x-middleware-subrequest를 사용함. 보안 보고서에 따르면, 미들웨어 실행을 건너뛰어 중요한 검사를 우회할 수 있는 가능성이 있음.

영향 범위

• 영향을 받는 경우

  • 미들웨어를 사용하는 자체 호스팅 Next.js 애플리케이션 (next start와 output: 'standalone')
  • 인증 또는 보안 검사를 위해 미들웨어에 의존하는 경우
  • Cloudflare를 사용하는 애플리케이션은 관리형 WAF 규칙을 활성화할 수 있음

• 영향을 받지 않는 경우

  • Vercel에 호스팅된 애플리케이션
  • Netlify에 호스팅된 애플리케이션
  • 정적 내보내기로 배포된 애플리케이션 (미들웨어 실행되지 않음)

패치된 버전

• Next.js 15.x: 15.2.3에서 문제 해결됨
• Next.js 14.x: 14.2.25에서 문제 해결됨
• Next.js 13.x: 13.5.9에서 문제 해결됨
• Next.js 12.x: 12.3.5에서 문제 해결됨
• 안전한 버전으로 패치가 불가능한 경우, 외부 사용자 요청이 x-middleware-subrequest 헤더를 포함하지 않도록 방지할 것을 권장함

우리의 보안 책임

• Next.js는 2016년 이후 16개의 보안 권고문을 발표함. GitHub 보안 권고문과 CVE는 소프트웨어의 취약점을 사용자, 공급업체, 회사에 알리는 업계 표준임. 파트너와의 소통에서 부족한 점을 보완하기 위해 파트너 메일링 리스트를 개설함. partners@nextjs.org로 연락하여 포함될 수 있음.