// 为什么这次公告值得每个 Next.js 开发者警惕?近日,Next.js 官方发布安全通告,确认其对内使用的 React Server Components (RSC) 协议存在严重安全漏洞 —— CVE-2025-66478,危险等级被评为 CVSS 10.0(最高级别)。
这意味着攻击者几乎无需任何权限,只需要一次特制请求,就可能远程执行你的服务器代码(RCE)。如果你的项目使用 App Router + RSC,那么极有可能默认处于风险之下。这是一类“影响范围大 + 攻击门槛极低 + 危害极高”的框架级漏洞,务必尽快处理。// 谁会受到影响?
根据官方说明,受影响的是使用 RSC + App Router 的 Next.js 应用,具体包括以下版本:
- Next.js 15.x
- Next.js 16.x
- Next.js 14.3.0-canary.77 及之后的 canary 版
以下情况 不受影响:
- 使用稳定版 13.x / 14.x
- 使用 Pages Router
- 运行在 Edge Runtime
如果你是 create-next-app 创建的默认 App Router 项目,强烈建议立刻检查版本!// 已修复版本 & 紧急升级指南官方已发布修复版本,建议按版本线升级:
npm install next@15.0.5npm install next@15.1.9npm install next@15.2.6npm install next@15.3.6npm install next@15.4.8npm install next@15.5.7npm install next@16.0.7
如果你使用 14.3.0-canary.77 或更高 canary 版,则建议:
npm install next@14// 结语
CVE-2025-66478 是一次对所有 Next.js + RSC 项目都极为重要的安全提醒。如果你的项目在生产环境使用 App Router,请务必马上排查版本并升级补丁。安全风险不等人,越早处理越安全。
原创文章,作者:lishengli,如若转载,请注明出处:https://www.lishengli.com/lee/5125.html
