CVE-2025-55182 분석

유행 지난 CVE-2025-55182 (React2Shell)을 분석해 볼 것이다.

사실 블로그 쓸 게 없어서 분석하는 것이기도 하지만 Next Master라는 문제를
React2Shell 딸깍으로 푼 게 살짝 마음에 걸려서 분석해 보는 것이기도 하다.

우선 보안에 관심을 가져본 사람이라면 최근은 아니지만 React2Shell이라는 걸 들어본 적이 있을 것이다.

React Server Components를 쓸 때 HTTP 요청 하나로 RCE가 가능한 취약점이고 CVSS가 10이나 될 만큼 굉장히 큰 취약점이라 각종 뉴스에도 나온 나름 유명한 취약점이다.

아무튼 본격적으로 분석을 시작해보자.

우선 Flight protocol이 뭔지 알아야 하는데 React에서 Component tree data Server reference 등을 서버와 클라이언트 사이 효율적으로 전송하기 위한 직렬화 포맷이다.

Flight는 문자열 토큰을 가지고 JS 값을 표현하는데 그중 $F는 Server reference다.

CVE-2025-55182에 영향을 받는 react-server-dom-webpack@19.2.0에서 $F를 처리하는 부분을 보자.

1
case "F":
2
  value = value.slice(2);
3
  value = getOutlinedModel(response, value, obj, key, createModel);
4
  return loadServerReference$1(
5
    response,
6
    value.id,
7
    value.bound,
8
    initializingChunk,
9
    obj,
10
    key
11
  );

$F가 단순 data가 아니고 $F는 결국 loadServerReference$1로 가는데 이 함수는 manifest를 조회해 모듈 export를 함수처럼 복원한다.

loadServerReference$1 함수를 보자.

1
function loadServerReference$1(response, id, bound, parentChunk, parentObject, key) {
2
  var serverReference = resolveServerReference(response._bundlerConfig, id);
3
  id = preloadModule(serverReference);
4

5
  if (bound) {
6
    bound = Promise.all([bound, id]).then(function (_ref) {
7
      var fn = requireModule(serverReference);
8
      return fn.bind.apply(fn, [null].concat(_ref[0]));
9
    });
10
  } else if (id) {
11
    bound = Promise.resolve(id).then(function () {
12
      return requireModule(serverReference);
13
    });
14
  } else {
15
    return requireModule(serverReference);
16
  }
17
}

decoder는 외부 input을 처리하는 중에 이런 걸 수행한다.

1
resolveServerReference()
2
preloadModule()
3
requireModule()
4
bind.apply()

여기에서 문제가 발생하는데 역직렬화가 module loader와 함수 binding까지 건드린다.

보통 역직렬화라고 하면 문자열 숫자 배열 object 정도를 복원한다고 생각하는데 그런데 여기서는 Flight token 하나가 server reference로 복원되고 그 과정에서 module resolve와 require까지 이어진다.

React가 신뢰하는 내부 model을 만들어서 server reference 복원 경로에 넣는다.

getOutlinedModel 함수를 보자.

1
function getOutlinedModel(response, reference, parentObject, key, map) {
2
  reference = reference.split(":");
3
  var id = parseInt(reference[0], 16);
4
  id = getChunk(response, id);
5

6
  if (id.status === "fulfilled") {
7
    parentObject = id.value;
8
    for (key = 1; key < reference.length; key++) {
9
      parentObject = parentObject[reference[key]];
10
    }
11
    return map(response, parentObject);
12
  }
13
}

이 부분을 보자.

1
parentObject = parentObject[reference[key]];

reference는 :로 나뉜 path라 볼 수 있다.

1
chunkId:path:to:value

그러면 decoder는 chunk를 꺼낸 뒤 path를 하나씩 따라간다.

1
value = chunk.value
2
value = value[path1]
3
value = value[path2]
4
value = value[path3]

이 과정에서 자연스럽게 이런 의문이 생긴다.

1
값이 plain object나 array인지
2
prototype chain으로 빠지는지
3
then, constructor, __proto__ 같은 걸 넣을 수 있는지

body 안에 들어간 reference path가 단순 데이터에 접근하는 게 아닐 수도 있다.

여기서 중요한 건 getOutlinedModel()이 단순히 own property만 따라가는 게 아니다. value[path[i]] 형태라서 JS property lookup을 그대로 따라간다.

즉 object에 직접 없는 property여도 prototype chain에 있으면 읽을 수 있다.

1
const obj = {};
2
obj["toString"];

reference path를 통해 prototype chain에 있는 값을 읽을 수 있다. 이게 첫번째 primitive이다.

JS에서 then은 특이한 존재다. 어떤 객체가 then 함수를 가지면 thenable로 취급될 수 있다.

이게 prototype pollution이냐 하면 그건 또 아니다.

prototype pollution처럼 Object.prototype.polluted = true 이런 걸 심어서 객체를 오염시키는 그런 케이스가 아니고

prototype chain을 따라가서 이미 있는 gadget을 가져오는 쪽이라고 볼 수 있다.

1
{
2
  then: then,
3
  status: "resolved_model",
4
  reason: -1,
5
  value: FlightModel,
6
  _response: {
7
    _prefix: string,
8
    _formData: {
9
      get: prototypeChainGadget
10
    }
11
  }
12
}

이런 형식을 보자.

이 객체가 JSON 같아 보이지만 React 입장에선 좀 문제가 되는 형태일 수 있다. Chunk는 다음과 같이 구현되어 있다.

1
function Chunk(status, value, reason, response) {
2
  this.status = status;
3
  this.value = value;
4
  this.reason = reason;
5
  this._response = response;
6
}

Chunk.prototype.then은 status가 resolved_model이면 model을 초기화한다.

1
Chunk.prototype = Object.create(Promise.prototype);
2
Chunk.prototype.then = function (resolve, reject) {
3
  switch (this.status) {
4
    case "resolved_model":
5
      initializeModelChunk(this);
6
  }
7
};

즉 JSON 객체에 status value reason _response를 맞춰 넣고 then에는 prototype chain으로 얻은 Chunk.prototype.then 같은 함수를 물려주면 평범한 객체가 decoder 입장에서는 thenable처럼 행동할 수 있다.

initializeModelChunk()도 같이 보면

1
function initializeModelChunk(chunk) {
2
  var rootReference =
3
      -1 === chunk.reason ? void 0 : chunk.reason.toString(16),
4
    resolvedModel = chunk.value;
5
  chunk.status = "cyclic";
6
  chunk.value = null;
7
  chunk.reason = null;
8
  try {
9
    var rawModel = JSON.parse(resolvedModel),
10
      value = reviveModel(
11
        chunk._response,
12
        { "": rawModel },
13
        "",
14
        rawModel,
15
        rootReference
16
      );
17
    // ...
18
  } catch (error) {
19
    (chunk.status = "rejected"), (chunk.reason = error);
20
  }
21
}

여기서 chunk.value가 다시 JSON.parse() 된다.

한 번 파싱된 object 안에 value를 또 넣고 그 value가 다시 Flight model로 파싱되도록 만들 수 있다.

value 안의 문자열 token들이 의미를 가진다.

$@도 살짝 보면 parseModelString()에서 $@는 Chunk reference를 가져온다.

1
case "@":
2
  return (
3
    (obj = parseInt(value.slice(2), 16)), getChunk(response, obj)
4
  );

getChunk()는 response 안의 chunk cache나 formData에서 chunk를 꺼낸다.

1
function getChunk(response, id) {
2
  var chunks = response._chunks,
3
    chunk = chunks.get(id);
4
  chunk ||
5
    ((chunk = response._formData.get(response._prefix + id)),
6
    (chunk =
7
      null != chunk
8
        ? new Chunk("resolved_model", chunk, id, response)
9
        : response._closed
10
          ? new Chunk("rejected", null, response._closedReason, response)
11
          : createPendingChunk(response)),
12
    chunks.set(id, chunk));
13
  return chunk;
14
}

특정 chunk 자체를 reference로 얻고 getOutlinedModel()의 path traversal과 엮을 수 있다.

path를 따라가면 chunk object 자체가 아니라 Chunk.prototype.then 같은 prototype 쪽으로 접근할 수 있다.

JS에선 흔히 볼 수 있는 chain을 보자.

1
SomeFunction.constructor === Function

path resolution이 constructor 같은 property를 따라가면 constructor에 gadget을 만들 수 있다.

함수 객체의 constructor는 보통 Function을 가리키고 Function은 문자열을 코드로 바꾸는 생성자다.

물론 여기서 Function을 직접 호출하는게 아니라 decoder의 reference path가 constructor 같은 property까지 따라간다.

또 $B라는 걸 보자. parseModelString()에서 $B는 FormData에서 blob이나 file을 꺼낼 때 쓴다.

1
case "B":
2
  return (
3
    (obj = parseInt(value.slice(2), 16)),
4
    response._formData.get(response._prefix + obj)
5
  );

정상적으로는 response._formData.get(...)이 FormData 조회여야 한다.

그런데 _response 안에서 _formData.get이 함수 생성자 gadget으로 바뀌어 있으면 이 호출은 더 이상 FormData 조회가 아니게 되어버린다.

정상적으로는 이렇게 가야한다.

1
response._formData.get(blobKey)
2
  -> blob이나 file 조회

그런데 이상한 response를 끼워 넣으면 흐름이 이렇게 바뀐다.

1
response._formData.get(response._prefix + id)
2
  -> callable gadget(string)

즉 $B는 원래 blob을 꺼내는 token인데 이상한 _response와 엮이면 callable을 호출하는 sink처럼 쓸 수 있다.

1
callable(_response._formData.get)(_response._prefix + id)

원래는 FormData.get(key)였는데 이상한 _response 때문에 callable(string)이 되는 것이다.

이 객체는 then 멤버가 존재하고 그 값이 Function이기 때문에 JS에서 Thenable이 된다.

그래서 Chunk.prototype.then 호출을 통해 status value _response가 세팅된 상태로 initializeModelChunk()가 다시 호출되는데 value의 Flight model이 다시 열리고 $B 처리에서 이상한 _response._formData.get이 호출된다.

원래라면 그냥 FormData 조회여야 하지만 여기서는 _formData.get이 constructor 같은 callable gadget이고 인자로는 _prefix에 들어간 string이 넘어간다.

결국 client side에서 실행되는 JS가 아닌 server side의 node.js 런타임에서 동작하는 JS 실행으로 이어진다.

그래서

1
var res = process.mainModule.require('child_process').execSync('id',{{'timeout':5000}}).toString().trim();

이런 코드를 server에서 실행시킬 수 있다.

분석 끗.

Reference
https://github.com/byte16384/CVE-2025-55182/tree/main https://nvd.nist.gov/vuln/detail/CVE-2025-55182 https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components