安全通告:CVE-2025-66478
💡
原文英文,约300词,阅读约需2分钟。
📝
内容提要
React Server Components (RSC) 协议存在 CVSS 评分为 10.0 的严重漏洞,可能导致远程代码执行。受影响的 Next.js 版本包括 15.x 和 16.x。已发布的补丁版本为 15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7 和 16.0.7,用户应尽快升级。
🎯
关键要点
- React Server Components (RSC) 协议存在 CVSS 评分为 10.0 的严重漏洞,可能导致远程代码执行。
- 受影响的 Next.js 版本包括 15.x 和 16.x。
- 漏洞源于上游的 React 实现 (CVE-2025-55182),并影响使用 App Router 的 Next.js 应用程序。
- 该漏洞允许不受信任的输入影响服务器端执行行为,攻击者可以构造请求触发意外的服务器执行路径。
- Next.js 14.3.0-canary.77 及以后的 canary 版本受到影响,但 Next.js 13.x、14.x 稳定版、Pages Router 应用程序和 Edge Runtime 不受影响。
- 已发布的补丁版本为 15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7 和 16.0.7。
- 所有用户应尽快升级到最新的补丁版本。
- 如果使用 Next.js 14.3.0-canary.77 或更高版本的 canary 版本,应降级到最新的稳定 14.x 版本。
- 没有配置选项可以禁用受影响的代码路径。
- 感谢 Lachlan Davidson 发现并负责任地披露此漏洞。
➡️
