2025年12月3日,Next.js官方紧急发布安全通报,确认其核心依赖的“React Server Components(RSC,React服务端组件)”协议存在致命安全漏洞,漏洞编号为“CVE-2025-66478”,危险等级被评定为CVSS 10.0,这是安全漏洞的最高风险级别,意味着攻击门槛极低,危害却足以摧毁整个服务。
该漏洞的核心威胁在于:攻击者只需发送一次特制构造的请求,就能远程执行服务器代码(RCE),直接掌控你的服务器权限,窃取数据、植入恶意程序都可能发生。尤其需要警惕的是,如果你正在使用Next.js的App Router模式且启用了RSC功能,项目大概率已处于暴露风险中,无需额外配置,默认就可能被攻击。这种“影响面广、易利用、危害大”的框架级漏洞,容不得半点拖延,必须立即处理。
哪些项目需要立刻排查?
根据官方界定,本次漏洞仅针对同时使用“RSC + App Router”的Next.js应用,具体涉及以下版本:
- Next.js 15.x
- Next.js 16.x
- Next.js 14.3.0-canary.77及之后的canary版
以下场景的项目不受此漏洞影响,可暂时放宽心,但仍建议关注后续更新:
- 使用稳定版13.x/14.x
- 使用Pages Router
- 运行在Edge Runtime
需要注意的是,如果你的项目是通过create-next-app命令默认创建的App Router模板,无论用于测试还是生产环境,都请第一时间检查Next.js版本,切勿抱有侥幸心理。
已修复版本&紧急升级指南:
Next.js官方已针对各版本线推出修复补丁,直接通过npm升级到指定版本即可完成漏洞修复,无需修改业务代码。请根据你当前使用的版本,执行对应的升级命令:
npm install next@15.0.5
npm install next@15.1.9
npm install next@15.2.6
npm install next@15.3.6
npm install next@15.4.8
npm install next@15.5.7
npm install next@16.0.7
若使用14.3.0-canary.77及以上canary版,建议使用以下升级命令:
npm install next@14
升级完成后,可在项目根目录执行npm list next命令,查看终端输出的Next.js版本号,确认是否与上述修复版本一致。
如果你的应用正运行在生产环境且使用App Router模式,请立即暂停其他工作,优先完成版本排查和升级。安全风险不会等待,早一步修复,就能多一分保障。后续也建议养成定期检查框架更新的习惯,及时响应官方安全通报。
-
广告合作
-
QQ群号:4114653
