安全通告:CVE-2025-66478
内容提要
React Server Components (RSC) 协议存在 CVSS 评分为 10.0 的严重漏洞,可能导致远程代码执行。受影响的 Next.js 版本包括 15.x 和 16.x。已发布的补丁版本为 15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7 和 16.0.7,用户应尽快升级。
关键要点
-
React Server Components (RSC) 协议存在 CVSS 评分为 10.0 的严重漏洞,可能导致远程代码执行。
-
受影响的 Next.js 版本包括 15.x 和 16.x。
-
漏洞源于上游的 React 实现 (CVE-2025-55182),并影响使用 App Router 的 Next.js 应用程序。
-
该漏洞允许不受信任的输入影响服务器端执行行为,攻击者可以构造请求触发意外的服务器执行路径。
-
Next.js 14.3.0-canary.77 及以后的 canary 版本受到影响,但 Next.js 13.x、14.x 稳定版、Pages Router 应用程序和 Edge Runtime 不受影响。
-
已发布的补丁版本为 15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7 和 16.0.7。
-
所有用户应尽快升级到最新的补丁版本。
-
如果使用 Next.js 14.3.0-canary.77 或更高版本的 canary 版本,应降级到最新的稳定 14.x 版本。
-
没有配置选项可以禁用受影响的代码路径。
-
感谢 Lachlan Davidson 发现并负责任地披露此漏洞。
延伸问答
CVE-2025-66478漏洞的严重性如何?
该漏洞的CVSS评分为10.0,属于严重漏洞,可能导致远程代码执行。
哪些版本的Next.js受到CVE-2025-66478漏洞的影响?
受影响的Next.js版本包括15.x和16.x,以及14.3.0-canary.77及以后的canary版本。
如何修复CVE-2025-66478漏洞?
用户应升级到已发布的补丁版本,包括15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7和16.0.7。
CVE-2025-66478漏洞的根本原因是什么?
该漏洞源于上游的React实现(CVE-2025-55182),影响使用App Router的Next.js应用程序。
如果我使用的是Next.js 14.3.0-canary.77,应该怎么做?
应降级到最新的稳定14.x版本。
CVE-2025-66478漏洞是否有配置选项可以禁用?
没有配置选项可以禁用受影响的代码路径。
