仅限会员阅读的故事 关键安全警报:关于Next.js中的CVE-2025-66478,您现在需要了解什么 安德烈 3 分钟阅读 · 2025年12月6日 收听 分享
🎁 如需免费访问,您可以点击此处。
TL;DR: 如果您正在使用带有App Router的Next.js 15.x或16.x版本,应立即升级。这是一个CVSS评分为10.0的远程代码执行漏洞,属于最危险的类型。
CVE-2025-55182
2025年12月3日,Next.js团队披露了一个关键的安全漏洞(CVE-2025-66478),该漏洞影响使用React服务器组件和App Router构建的应用程序。
此漏洞的CVSS评分为10.0。这不仅是一次常规修复,更是一个需要优先响应的严重威胁。
这里究竟发生了什么?
**React服务器组件(RSC)**是一项允许您的React逻辑部分在服务器端运行的功能,而不仅仅是在浏览器中。这样,服务器处理繁重的工作,并将"最终输出"发送到浏览器,使应用程序感觉更快、更轻量。
问题在于,服务器在处理来自用户的传入数据的方式上存在一个错误。在特定条件下,攻击者可以发送一个特制的请求,使得……FINISHED CSD0tFqvECLokhw9aBeRqkKo3PQVIom5sjKfPdzkFhwy7v6G8d2xGdVd9KrM4CyW0Txz6vozXHLm3dxosbvLy8LbH87IxUCzpJHAJEKLwb7tCxRITY0tn/lLrpUl9Urk3ZgbXCNjqAPIF5MXQJuYYb4+9S4eppHQzlPi91KNRdo=
