🔧 阿川の電商水電行
Shopify 顧問、維護與客製化
💡
小任務 / 單次支援方案
單次處理 Shopify 修正/微調
⭐️
維護方案
每月 Shopify 技術支援 + 小修改 + 諮詢
🚀
專案建置
Shopify 功能導入、培訓 + 分階段交付
緊急高危:Next.js 曝出 CVSS 10.0 級 RCE 漏洞,請立即修復!
(2025年12月3日),Next.js 官方發布了編號為 CVE-2025-66478 的緊急安全公告。
這不是演習,這是一個 CVSS 評分滿分(10.0)的核彈級漏洞。
如果你的生產環境正在使用 Next.js App Router,請立刻放下手頭的工作,檢查並升級。
漏洞定級:最高危 (Critical)
- CVE 編號:CVE-2025-66478 (Next.js) / CVE-2025-55182 (React 上游)
- CVSS 評分:10.0 / 10.0
- 漏洞類型:RCE (遠程代碼執行) / 反序列化漏洞
- 利用難度:低 (無需鑑權,無需用戶互動)
⚠️ 發生了什麼?
簡單來說,React Server Components (RSC) 的底層通信協議("Flight" protocol)在處理序列化數據時存在嚴重缺陷。
攻擊者可以通過發送一個精心構造的 HTTP 請求給你的 Next.js 伺服器,觸發不安全的反序列化過程。
- 後果: 攻擊者可以直接在你的伺服器上執行任意 JavaScript 代碼。
- 範圍: 只要使用了 App Router 且暴露在公網,即刻受影響。
與以往漏洞對比
作為技術人,我們要對風險敏感度有清晰的認知:
- 以往 (如 CVE-2024-34351):大多是 SSRF 或快取投毒。雖然危險,但通常需要配合特定代碼寫法或內網環境。
- 本次 (CVE-2025-66478):是 RCE。這是安全漏洞中的“皇冠”,意味著攻擊者可以直接接管你的伺服器 Shell。其嚴重程度遠超過去兩年的所有 Next.js 漏洞。
影響範圍
該漏洞主要影響使用 App Router 的版本,Pages Router 不受影響。
受影響版本:
- Next.js 16.x:< 16.0.7
- Next.js 15.x:所有未打補丁的版本
- Next.js 14.x Canary:>= 14.3.0-canary.77
- (注:Next.js 14.x Stable (穩定版) 不受影響)
修復方案 (嚴格執行)
官方已針對不同次版本號發布了多個補丁,請根據你當前的 minor 版本選擇升級:
安全版本清單 (升級到以下版本或更高):
- ✅ v16.0.7
- ✅ v15.5.7
- ✅ v15.4.8
- ✅ v15.3.6
- ✅ v15.2.6
- ✅ v15.1.9
- ✅ v15.0.5
升級命令:
# 通用升級 (自動匹配最新 patch)
npm install next@latest react@latest react-dom@latest
# 指定版本 (如需鎖定在 v15.1)
npm install [email protected]臨時緩解
如果你暫時無法升級:
- 目前 Vercel 平台已在邊緣層攔截了相關攻擊請求。
- 自托管 (Self-hosted) 用戶 必須升級,沒有簡單的配置項可以關閉此漏洞。
最後:
CVSS 10.0 的漏洞幾年才出一個,不要抱有僥倖心理。現在的腳本小子掃描速度比你想象的快,馬上升級!
(轉發給你的前端/全棧團隊,避免刪庫跑路)
參考連結:
首發原文
緊急高危:Next.js 曝出 CVSS 10.0 級 RCE 漏洞,請立即修復!
共有 0 則留言
文字內容提供幾種功能:
1) --- 會變成分隔線(上一行必須是空白)
2) # 會變成一級標題
3) ## 會變成二級標題
4) ### 會變成三級標題
5) **粗體文字**會顯示粗體文字
6) ```當第一行與最後一行會顯示程式碼
7) 請搜尋 Markdown 語法,了解各種格式
1) --- 會變成分隔線(上一行必須是空白)
2) # 會變成一級標題
3) ## 會變成二級標題
4) ### 會變成三級標題
5) **粗體文字**會顯示粗體文字
6) ```當第一行與最後一行會顯示程式碼
7) 請搜尋 Markdown 語法,了解各種格式
熱門文章
🏆 本月排行榜
評分標準:發文×10 + 留言×3 + 獲讚×5 + 點讚×1 + 瀏覽數÷10
本數據每小時更新一次
🔧 阿川の電商水電行
Shopify 顧問、維護與客製化
💡
小任務 / 單次支援方案
單次處理 Shopify 修正/微調
⭐️
維護方案
每月 Shopify 技術支援 + 小修改 + 諮詢
🚀
專案建置
Shopify 功能導入、培訓 + 分階段交付