紧急高危:Next.js 曝出 CVSS 10.0 级 RCE 漏洞,请立即修复!

(2025年12月3日),Next.js 官方发布了编号为 CVE-2025-66478 的紧急安全公告。

这不是演习,这是一个 CVSS 评分满分(10.0)的核弹级漏洞

如果你的生产环境正在使用 Next.js App Router,请立刻放下手头的工作,检查并升级

漏洞定级:最高危 (Critical)

  • CVE 编号:CVE-2025-66478 (Next.js) / CVE-2025-55182 (React 上游)
  • CVSS 评分10.0 / 10.0
  • 漏洞类型RCE (远程代码执行) / 反序列化漏洞
  • 利用难度:低 (无需鉴权,无需用户交互)

⚠️ 发生了什么?

简单来说,React Server Components (RSC) 的底层通信协议("Flight" protocol)在处理序列化数据时存在严重缺陷。

攻击者可以通过发送一个精心构造的 HTTP 请求给你的 Next.js 服务器,触发不安全的反序列化过程。

  • 后果: 攻击者可以直接在你的服务器上执行任意 JavaScript 代码。
  • 范围: 只要使用了 App Router 且暴露在公网,即刻受影响。

与以往漏洞对比

作为技术人,我们要对风险敏感度有清晰的认知:

  • 以往 (如 CVE-2024-34351):大多是 SSRF 或缓存投毒。虽然危险,但通常需要配合特定代码写法或内网环境。
  • 本次 (CVE-2025-66478) :是 RCE 。这是安全漏洞中的"皇冠",意味着攻击者可以直接接管你的服务器 Shell。其严重程度远超过去两年的所有 Next.js 漏洞。

影响范围

该漏洞主要影响使用 App Router 的版本,Pages Router 不受影响

受影响版本:

  • Next.js 16.x:< 16.0.7
  • Next.js 15.x:所有未打补丁的版本
  • Next.js 14.x Canary:>= 14.3.0-canary.77
  • (注:Next.js 14.x Stable (稳定版) 不受影响)

修复方案 (严格执行)

官方已针对不同次版本号发布了多个补丁,请根据你当前的 minor 版本选择升级:

安全版本清单 (升级到以下版本或更高):

  • v16.0.7
  • v15.5.7
  • v15.4.8
  • v15.3.6
  • v15.2.6
  • v15.1.9
  • v15.0.5

升级命令:

bash 复制代码
# 通用升级 (自动匹配最新 patch)
npm install next@latest react@latest react-dom@latest

# 指定版本 (如需锁定在 v15.1)
npm install next@15.1.9

临时缓解

如果你暂时无法升级:

  • 目前 Vercel 平台已在边缘层拦截了相关攻击请求。
  • 自托管 (Self-hosted) 用户 必须升级,没有简单的配置项可以关闭此漏洞。

最后: CVSS 10.0 的漏洞几年才出一个,不要抱有侥幸心理。现在的脚本小子扫描速度比你想象的快,马上升级!

(转发给你的前端/全栈团队,避免删库跑路)


参考链接:

首发原文

紧急高危:Next.js 曝出 CVSS 10.0 级 RCE 漏洞,请立即修复!

相关推荐
天蓝色的鱼鱼1 小时前
关于 CSS 你可能不知道的属性,但关键时刻很有用
前端·css
泯泷2 小时前
第 2 篇:设计第一套字节码:Opcode、Instruction 与 Constant Pool
前端·javascript·安全
妙码生花2 小时前
从 PHP 到 AI + Golang,程序员自救转型手记(十五):优化细节、网络请求封装
前端·后端·ai编程
泯泷2 小时前
第 1 篇:从 1 + 2 开始:亲手写出第一台 JSVM
前端·javascript·安全
团团崽_七分甜2 小时前
Spring Boot 核心知识点总结
前端
lichenyang4533 小时前
从一个按钮开始,理解 ASCF 框架到底在做什么
前端
古夕3 小时前
第三方 SSO 接入实践:redirect_uri 编码、回调一致性与跨项目联调
前端·vue.js
朦胧之3 小时前
页面白屏卡住排查方法
前端·javascript
用户593608741403 小时前
Playwright 黑魔法:用 ClipboardEvent 绕过 React 富文本编辑器
前端