Next.js 官方安全公告:CVE-2025-66478(RSC 协议严重漏洞)问题修复

望舒的头像
望舒
标签:
CVE-2025-66478RSC 漏洞App RouterNext.js

Next.js 官方披露了影响 App Router 与 React Server Components 的严重安全漏洞 CVE-2025-66478,该漏洞可能被利用实现远程代码执行(RCE)。受影响版本包括 Next.js 15.x、16.x 以及部分 canary 版本。官方已发布多个修复版本,建议尽快升级以确保安全。

官方原文地址: https://nextjs.org/blog/CVE-2025-66478

安全公告:CVE-2025-66478

由 Josh Story 和 Sebastian Markbåge 于 2025-12-03 发布。

概要

在 React Server Components (RSC) 协议中发现了一个严重漏洞。该漏洞被评为 CVSS 10.0(最高严重等级),如果在未修补的环境中处理来自攻击者控制的请求,可能导致远程代码执行(RCE)。 这个漏洞来源于上游 React 实现(对应 CVE-2025-55182)。本公告(CVE-2025-66478)追踪的是使用 App Router 的 Next.js 应用中的下游影响。

影响范围

使用 React Server Components 并采用 App Router 架构的 Next.js 应用,在下列版本中存在风险:

  • Next.js 15.x
  • Next.js 16.x
  • Next.js 14.3.0-canary.77 及之后的 canary 版本

以下情况不受影响:Next.js 13.x、14.x 稳定版、只使用 Pages Router 的应用、以及 Edge Runtime。

已修复版本

问题已在以下 Next.js 版本中修复:

  • 15.0.5
  • 15.1.9
  • 15.2.6
  • 15.3.6
  • 15.4.8
  • 15.5.7
  • 16.0.7

此外,Next.js 15 和 16 的 canary 版本也有更新补丁,分别是 15.6.0-canary.58 和 16.1.0-canary.12。

修复建议

所有用户应立即升级到其所用分支的最新版,比如:

复制
展开
npm install next@15.0.5    # 针对 15.0.x  
npm install next@15.1.9    # 针对 15.1.x  
npm install next@15.2.6    # 针对 15.2.x  
npm install next@15.3.6    # 针对 15.3.x  
npm install next@15.4.8    # 针对 15.4.x  
npm install next@15.5.7    # 针对 15.5.x  
npm install next@16.0.7    # 针对 16.0.x

对于使用 canary 版本的用户,也可采用:

复制
展开
npm install next@15.6.0-canary.58    # 15.x canary  
npm install next@16.1.0-canary.12    # 16.x canary

如果你使用的是从 14.3.0-canary.77 开始的 canary 版本,建议降级到最新的 14.x 稳定版:

复制
展开
npm install next@14

此外,还有官方提供的工具可以辅助检查和升级:

复制
展开
npx fix-react2shell-next

请注意:没有配置选项可以“关闭”受影响的代码路径 — 唯一安全方案是升级。

补充说明

  • 该漏洞根源在 React Server Components 的 Flight 协议对客户端发送的序列化 payload 的反序列化逻辑存在缺陷 —— 不可信的输入可能影响服务端执行流程,从而导致 RCE。
  • 一旦应用暴露在公网,在默认配置下即可能被攻击者利用。无需额外权限或认证,仅需构造恶意 HTTP 请求即可。
  • 发现者为 Lachlan Davidson,漏洞已被“负责任披露”并快速发布补丁。
No data
No data