Dify

Dify 업데이트(2025-12-12) : React, React-dom CVE-2025-55183, 55184, 67779 취약점 대응

CVE-2025-55183, 55184, 67779 취약점 대응
종상
종상
Dec 16, 2025
Dify 업데이트(2025-12-12) : React, React-dom CVE-2025-55183, 55184, 67779 취약점 대응
Contents
CVE-2025-55183 취약점CVE-2025-55184 취약점CVE-2025-67779 취약점Dify 업데이트 내용Dify 업데이트 방법에러가 발생하는 경우

안녕하세요

최근에 추가로 발생한 React, React-dom 에서의 CVE-2025-55183, 55184, 67779 취약점 내용이 아닌데 덮친 격으로 충격적인데요.
치명적인 보안 이슈라 모든 기업에서도 긴장하고 업데이트를 진행하고 있답니다.

Dify도 이에 대응하기 위해 12월 12일 긴급 업데이트가 진행되었는데요.

Community Edition은 v.11.1, Enterprise는 v.3.6.4로 업데이트되었습니다.

CVE-2025-55183 취약점

Source Code Exposure, Medium, CVSS 5.3
정보 유출에 관련된 취약점입니다.

React Server Components 환경에서 서버 함수를 처리하는 로직의 허점을 이용한 것으로, 공격자는 특정 유형의 요청을 통해 서버에 저장된 다른 함수 코드를 응답으로 받아 볼 수 있습니다.

단순히 소스 코드가 드러나는 것을 넘어, 코드 내에 하드코딩 되어 있을 수 있는 API Key, 데이터베이스 자격 증명, 비즈니스 로직 같은 민감한 정보가 외부로 노출될 위험이 있습니다.

CVE-2025-55184 취약점

DoS, High, CVSS 7.5
DoS 취약점으로써, 공격자는 순환 참조가 포함된 Promise 객체 등 특수하게 조작된 HTTP 요청을 서버 함수 엔드포인트로 전송합니다.

React Server Components가 이러한 비정상적인 요청을 처리하려 시도하는 순간 서버가 무기한 재귀 호출이나 루프 상태에 빠져 중단될 위험이 있습니다.

CVE-2025-67779 취약점

DoS, High, CVSS 7.5
앞서 발견된 서비스 거부(DoS) 취약점에 대한 패치가 불완전하여 발생한 문제입니다.

React Server Components는 클라이언트의 요청을 받아 서버에서 코드를 실행하고 결과를 반환합니다.
이 과정에서 서버가 특정 데이터를 역직렬화 할 때, 보안 조치가 미흡하여 공격자가 조작된 페이로드를 전송할 수 있는 경로가 남게 됩니다.

자세한 내용은 다음을 참조하시기 바랍니다:
공식 조언: https://react.dev/blog/2025/12/11/denial-of-service-and-source-code-exposure-in-react-server-components
CVE 데이터베이스 항목:
- https://www.cve.org/CVERecord?id=CVE-2025-55183
- https://www.cve.org/CVERecord?id=CVE-2025-55184
- https://www.cve.org/CVERecord?id=CVE-2025-67779

Dify 업데이트 내용

https://github.com/langgenius/dify/releases/tag/1.11.1

  • React and Next.js Security Upgrades: We've bumped up react and react-dom to 19.2.3 to fix some CVE vulnerabilities. Next.js also got a security update, courtesy of @douxc (PRs #29532 and #29545).

  • Credential Management: If you've been seeing empty available_credentials, that's sorted out now (thanks to @fatelei in #29521).

  • Description Length Limitation: Autogenerated descriptions will now be truncated to avoid the 400-character limit error, ensuring smoother submissions by @shua-chen in #28681.

  • Content Type Charset: Response content types now include charsets to keep your data formats consistent, by @Pleasurecruise in #29534.

  • Flask-Restx Attribute Error: The pesky AttributeError caused by validate=True in flask-restx is no more (fixed by @Mairuis in #29552).

  • Document Handling: Optimized the save_document_with_dataset_id function for better performance by @fatelei in #29550. Plus, we fixed an issue where external images in DOCX files were causing extraction failures (@JohnJyong in #29558).

  • Token Retrieval: No more errors when access_token is empty; it now gracefully returns None by @kashira2339 in #29516.

  • Hit-Test Failures: Resolved the hit-test failure when an attachment ID doesn’t exist by @JohnJyong in #29563.

기본 프레임워크에 대한 보안 강화가 포함되었고, React와 React-dom에서 발생한 추가 취약점에 대해 대응하고자 나온 공식 완화 패치를 적용했다는 내용입니다.

Dify 업데이트 방법

Dify 설치 : 최신버젼으로 업데이트하는 방법

https://blog.open-network.co.kr/dify-install-latest-update

주의 : 실행 중인 도커 컨테이너가 있는 경우 백업 및 종료 후 업데이트 해야 합니다.

에러가 발생하는 경우

Dify 설치 : contains unsupported option: 'required' 오류가 발생하는 경우

https://blog.open-network.co.kr/dify-install-unsupported-option-error

Dify 설치 : Permission denied (OS error 13)

https://blog.open-network.co.kr/dify-install-permission-denied

오픈네트웍시스템 박종상

Share article