Next.js 安全更新:2025年12月11日
内容提要
React Server Components(RSC)协议发现了两个新漏洞:CVE-2025-55183和CVE-2025-55184。这些漏洞可能导致服务拒绝和源代码泄露,但不会导致远程代码执行。受影响的Next.js版本需升级到最新补丁以确保安全。
关键要点
-
React Server Components(RSC)协议发现了两个新漏洞:CVE-2025-55183和CVE-2025-55184。
-
这两个漏洞可能导致服务拒绝和源代码泄露,但不会导致远程代码执行。
-
受影响的Next.js版本需升级到最新补丁以确保安全。
-
CVE-2025-55184(高严重性)可导致服务拒绝,特定的HTTP请求可导致服务器进程挂起。
-
CVE-2025-55183(中等严重性)可导致源代码泄露,特定的HTTP请求可使服务器函数返回其他函数的编译源代码。
-
使用App Router的Next.js应用程序受到影响,建议用户升级到最新的修补版本。
-
所有用户应升级到其发布线的最新修补版本,没有替代解决方案。
延伸解读
漏洞影响分析
此次发现的两个漏洞分别为CVE-2025-55183和CVE-2025-55184,前者可能导致源代码泄露,后者则可能引发服务拒绝。开发者需特别关注这些漏洞可能对业务逻辑和敏感信息的影响,尤其是当源代码中直接包含秘密信息时。
升级的重要性
所有使用Next.js的用户都必须及时升级到最新的修补版本,以防止潜在的安全风险。由于没有替代解决方案,忽视升级可能导致应用程序面临严重的安全隐患,影响用户体验和数据安全。
受影响版本概述
使用App Router的Next.js应用程序受到这两个漏洞的影响,特别是版本14.x及以上的用户需尽快更新到14.2.34或更高版本。了解自己所用版本的安全状态是确保应用安全的关键步骤。
延伸问答
Next.js中发现了哪些新漏洞?
发现了两个新漏洞:CVE-2025-55183和CVE-2025-55184。
CVE-2025-55184漏洞的影响是什么?
CVE-2025-55184可能导致服务拒绝,特定HTTP请求可导致服务器进程挂起。
CVE-2025-55183漏洞会导致什么问题?
CVE-2025-55183可能导致源代码泄露,特定HTTP请求可使服务器函数返回其他函数的编译源代码。
受影响的Next.js版本需要做什么?
受影响的Next.js版本需升级到最新补丁以确保安全。
如何升级Next.js到安全版本?
可以使用命令npm install next@<版本号>来升级到相应的安全版本。
哪些Next.js版本受到CVE-2025-55183和CVE-2025-55184的影响?
所有使用App Router的Next.js版本都受到影响,具体版本请参考官方发布的修补版本列表。
