Next.js 发布扫描工具:检测并修复受 React2Shell 漏洞(CVE-2025-66478)影响的应用

Next.js 发布了一款名为 fix-react2shell-next 的专用命令行工具,帮助开发者快速检测并修复高危"React2Shell"漏洞(CVE-2025-66478)。这款新型扫描器提供单行命令解决方案,可识别存在漏洞的 Next.js 和 React Server Components(RSC)版本,并自动应用最新 Next.js 版本中包含的安全更新。

自动化检测与修复

该工具通过递归扫描项目中的所有 package.json 文件来简化修复流程。这种设计确保其能有效适用于标准代码库以及由 npm、yarn、pnpm 或 bun 管理的复杂 monorepo 项目。

与容易出错的人工检查不同,该扫描器会系统性地验证已安装的 next、react-server-dom-webpack、react-server-dom-parcel 和 react-server-dom-turbopack 版本。一旦发现存在漏洞的软件包,工具会将其更新至 GitHub 官方公告指定的安全版本。

随后,工具会根据检测到的包管理器刷新 lockfile,确保修复被正确锁定。例如,它会自动将存在漏洞的 Next.js 15.1.0 版本直接升级至已修复的 15.1.9 版本。

受影响版本范围

根据 GitHub 报告,该漏洞影响多个 Next.js 和 React RSC 软件包的发布版本线。运行以下"受影响"范围内任何版本的开发者应立即升级:

软件包 受影响版本范围 已修复版本
Next.js 15.0.0 -- 15.0.4 15.0.5
15.1.0 -- 15.1.8 15.1.9
15.2.0 -- 15.2.5 15.2.6
15.3.0 -- 15.3.5 15.3.6
15.4.0 -- 15.4.7 15.4.8
16.0.0 -- 16.0.6 16.0.7
React RSC 19.0.0 19.0.1
19.1.0 -- 19.1.1 19.1.2

工具使用方法

开发者可直接使用 npx 运行该工具。若希望在更改前进行确认,可运行标准命令获得交互式体验。

对于持续集成(CI)环境或无法进行提示的自动化工作流,可使用 fix 标志强制工具自动应用补丁。相反,若团队希望在不立即更改的情况下审计项目,可使用 dry-run 标志查看将更新的内容报告。

此外还提供 json 标志用于脚本编写,允许安全团队将输出传输到其他监控工具中。要运行交互式修复,请在终端执行以下命令:npx fix-react2shell-next。

相关推荐
无限的鲜花7 小时前
反射(原创推荐)
java·开发语言
yongche_shi7 小时前
ragas官方文档中文版(五十)
开发语言·python·ai·ragas·如何评估和改进 rag 应用
一路向北he7 小时前
字节钢铁军团--“提供情境,而非控制”
java·开发语言·前端
kyriewen7 小时前
豆包和千问同时关了智能体,我用它们搭的 3 个自动化全废了——迁移方案整理
前端·javascript·ai编程
铁皮饭盒8 小时前
用 Bun.cron 定时 7 月 7 日,为啥? 看图1
javascript
AI行业学习8 小时前
Notepad++ 官方下载 + 完整安装 + 全套优化配置(2026最新)
开发语言·人工智能·python·前端框架·html·notepad++
大圣编程9 小时前
Python中continue语句的用法是什么?
开发语言·前端·python
upgrador10 小时前
基础知识:C++ STL构造函数的左闭右开惯例及其实现原理
开发语言·c++
之歆10 小时前
Vue商品详情与放大镜组件
前端·javascript·vue.js
yoothey10 小时前
报废审批流规则引擎设计——责任链模式完整实现
linux·开发语言·bash