안녕하세요
최근에 발생된 React, Next.js에서의 CVE-2025-55182 취약점 내용 때문에 긴급 업데이트 하는 프로젝트가 많습니다.
치명적인 보안 이슈라 모든 기업들에서도 긴장하고 업데이트를 진행하고 있답니다.
Dify도 이에 대응하기 위해 12월 5일 긴급 업데이트가 진행되었는데요.
Community Edition은 v.10.1-fix, Enterprise는 v.3.6.2로 업데이트 되었습니다.
CVE-2025-55182 취약점
React 서버 구성 요소(RSC) 및 Next.js 라우터 서버 작업에 영향을 미치는 중요한 원격 코드 실행(RCE) 취약점 입니다.
이 취약점은 프레임워크 내에서 객체 병렬화 과정에서 검증이 불충분하기 때문에 발생합니다.
사용자 지정 직렬화 구조가 포함된 FormData 또는 Action Payload를 구문 분석할 때 공격자는 악의적인 요청을 만들어 서버에서 임의의 코드 실행을 트리거할 수 있습니다.
이 결함은 핵심 RSC 구문 분석 로직에 있기 때문에 영향 범위가 넓습니다.
이 취약점은 인증 없이 원격으로 악용될 수 있으며 CVSS 점수가 10.0(Critical)으로 할당되었습니다
자세한 내용은 다음을 참조하시기 바랍니다:
공식 조언: https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
CVE 데이터베이스 항목: https://www.cve.org/CVERecord?id=CVE-2025-55182
위즈 기술 분석: https://www.wiz.io/blog/critical-vulnerability-in-react-cve-2025-55182
Dify 업데이트 내용
https://github.com/langgenius/dify/releases/tag/1.10.1-fix.1
Security/deps: backend bumps pyarrow 17.0.0, werkzeug 3.1.4, urllib3 2.5.0 in api/uv.lock; frontend bumps React 19.2.1 (addresses CVE-2025-55182) and Next.js 15.5.7 in web/package.json + web/pnpm-lock.yaml.
기본 프레임워크에 대한 보안 강화가 포함되었고, React와 Next.js에서 발생한 취약점에 대해 대응하고자 나온 공식 완화 패치를 적용했다는 내용입니다.
Dify 업데이트 방법
Dify 설치 : 최신버젼으로 업데이트하는 방법
주의 : 실행 중인 도커 컨테이너가 있는 경우 백업 및 종료 후 업데이트 해야 합니다.
에러가 발생하는 경우
Dify 설치 : contains unsupported option: 'required' 오류가 발생하는 경우
https://blog.open-network.co.kr/dify-install-unsupported-option-error
Dify 설치 : Permission denied (OS error 13)
https://blog.open-network.co.kr/dify-install-permission-denied
문의가 필요하신 경우 아래의 링크로 자유롭게 문의 부탁드립니다.
오픈소스 문의: https://discord.com/invite/FngNHpbcY7
엔터프라이즈 도입 문의: ai@open-network.co.kr