NextJS Security Vulnerability
5 months ago
- #vulnerability
- #Next.js
- #security
- 在React Server Components (RSC)协议中发现严重漏洞(CVE-2025-66478),CVSS评分为10.0
- 攻击者可通过控制请求在未打补丁的环境中实现远程代码执行
- 影响使用App Router的Next.js应用,涉及版本15.x、16.x及14.3.0-canary.77+
- 已修复版本包括:15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7、16.0.7
- 用户必须升级到当前分支的最新修补版本,或从canary回退至稳定的14.x版本
- 无法通过配置选项禁用该漏洞利用路径
- 由Lachlan Davidson发现,技术细节暂不公开以保护未修复系统