(2025年12月3日),Next.js 官方发布了编号为 CVE-2025-66478 的紧急安全公告。
这不是演习,这是一个 CVSS 评分满分(10.0)的核弹级漏洞。
如果你的生产环境正在使用 Next.js App Router,请立刻放下手头的工作,检查并升级。
漏洞定级:最高危 (Critical)
- CVE 编号:CVE-2025-66478 (Next.js) / CVE-2025-55182 (React 上游)
- CVSS 评分:10.0 / 10.0
- 漏洞类型:RCE (远程代码执行) / 反序列化漏洞
- 利用难度:低 (无需鉴权,无需用户交互)
⚠️ 发生了什么?
简单来说,React Server Components (RSC) 的底层通信协议("Flight" protocol)在处理序列化数据时存在严重缺陷。
攻击者可以通过发送一个精心构造的 HTTP 请求给你的 Next.js 服务器,触发不安全的反序列化过程。
- 后果: 攻击者可以直接在你的服务器上执行任意 JavaScript 代码。
- 范围: 只要使用了 App Router 且暴露在公网,即刻受影响。
与以往漏洞对比
作为技术人,我们要对风险敏感度有清晰的认知:
- 以往 (如 CVE-2024-34351):大多是 SSRF 或缓存投毒。虽然危险,但通常需要配合特定代码写法或内网环境。
- 本次 (CVE-2025-66478):是 RCE。这是安全漏洞中的“皇冠”,意味着攻击者可以直接接管你的服务器 Shell。其严重程度远超过去两年的所有 Next.js 漏洞。
影响范围
该漏洞主要影响使用 App Router 的版本,Pages Router 不受影响。
受影响版本:
- Next.js 16.x:< 16.0.7
- Next.js 15.x:所有未打补丁的版本
- Next.js 14.x Canary:>= 14.3.0-canary.77
- (注:Next.js 14.x Stable (稳定版) 不受影响)
修复方案 (严格执行)
官方已针对不同次版本号发布了多个补丁,请根据你当前的 minor 版本选择升级:
安全版本清单 (升级到以下版本或更高):
- ✅ v16.0.7
- ✅ v15.5.7
- ✅ v15.4.8
- ✅ v15.3.6
- ✅ v15.2.6
- ✅ v15.1.9
- ✅ v15.0.5
升级命令:
# 通用升级 (自动匹配最新 patch)
npm install next@latest react@latest react-dom@latest
# 指定版本 (如需锁定在 v15.1)
npm install next@15.1.9
临时缓解
如果你暂时无法升级:
- 目前 Vercel 平台已在边缘层拦截了相关攻击请求。
- 自托管 (Self-hosted) 用户 必须升级,没有简单的配置项可以关闭此漏洞。
最后: CVSS 10.0 的漏洞几年才出一个,不要抱有侥幸心理。现在的脚本小子扫描速度比你想象的快,马上升级!
(转发给你的前端/全栈团队,避免删库跑路)
参考链接:
首发原文
