漏洞概述
2025年12月3日,Next.js 团队发布了一个严重的安全公告,披露了编号为 CVE-2025-66478 的严重安全漏洞。该漏洞的 CVSS 评分为 10.0(最高严重级别),可能导致远程代码执行(RCE)。
这个漏洞源于上游 React 实现中的问题(CVE-2025-55182),而 CVE-2025-66478 专门追踪该漏洞对使用 App Router 的 Next.js 应用程序的下游影响。
漏洞影响
受影响的 RSC(React Server Components)协议允许不受信任的输入影响服务器端执行行为。在特定条件下,攻击者可以构造请求来触发非预期的服务器执行路径,从而导致未修补环境中的远程代码执行。
受影响的版本
使用 App Router 的 React Server Components 的应用程序在以下版本中受到影响:
- Next.js 15.x(所有版本)
- Next.js 16.x(所有版本)
- Next.js 14.3.0-canary.77 及之后的 canary 版本
不受影响的版本:
- Next.js 13.x
- Next.js 14.x 稳定版
- Pages Router 应用程序
- Edge Runtime
已修复的版本
以下版本已完全修复该漏洞:
稳定版
- 15.0.5
- 15.1.9
- 15.2.6
- 15.3.6
- 15.4.8
- 15.5.7
- 16.0.7
Canary 版本
- 15.6.0-canary.58(适用于 15.x canary 版本)
- 16.1.0-canary.12(适用于 16.x canary 版本)
这些版本包含了加固的 React Server Components 实现。
修复方案
立即升级
所有用户都应该升级到其发布线的最新修补版本:
根据你的 Next.js 版本选择对应的命令
npm install [email protected] # for 15.0.x npm install [email protected] # for 15.1.x npm install [email protected] # for 15.2.x npm install [email protected] # for 15.3.x npm install [email protected] # for 15.4.x npm install [email protected] # for 15.5.x npm install [email protected] # for 16.0.x
Canary 版本
npm install [email protected] # for 15.x canary releases npm install [email protected] # for 16.x canary releases### 使用自动修复工具
Next.js 团队提供了一个交互式工具来自动检查和修复版本:
npx fix-react2shell-next这个工具会检查你的版本并按照推荐的版本进行确定性版本更新。更多详情请访问 GitHub 仓库。
特殊情况处理
如果你正在使用 Next.js 14.3.0-canary.77 或更新的 canary 版本,建议降级到最新的稳定 14.x 版本:
npm install next@14如果你使用 canary 版本来启用 PPR(Partial Prerendering),可以更新到 15.6.0-canary.58,该版本修复了漏洞同时继续支持 PPR。
重要提醒
⚠️ 没有临时解决方案——必须升级到已修补的版本。这是一个严重的安全漏洞,建议所有受影响的用户立即采取行动。
致谢
感谢 Lachlan Davidson 发现并负责任地披露了这个漏洞。
参考链接
- Next.js 安全公告 (CVE-2025-66478)
- React 安全公告 (CVE-2025-55182)
- React 官方博客:React Server Components 中的严重安全漏洞
- Next.js 官方博客公告
- 自动修复工具 GitHub 仓库