React.js与Next.js 官方于 12 月 3 日联合发布了编号为 CVE - 2025 - 66478 的紧急安全公告。

这是一个 CVSS 评分满分为（10.0）的“核弹级别”漏洞。

如果你的生产环境正在使用 Next.js App Router，请立即放下手头工作，进行检查并升级。

最高危险级 (Critical)

·CVE 编号：CVE - 2025 - 66478 (Next.js) / CVE - 2025 - 55182 (React 上游)

·CVSS 评分：10.0 / 10.0

·漏洞类型：RCE (远程代码执行) / 反序列化漏洞

·利用难度：低 (无需鉴权，无需用户交互)

漏洞原因

当你使用React Server Components (RSC) 的底层通信协议（“Flight” protocol）时，它在处理序列化数据时存在严重缺陷。

攻击者可通过向你的 Next.js 服务器发送一个精心构造的 HTTP 请求，触发不安全的反序列化过程。

·后果：攻击者能够直接在你的服务器上执行任意 JavaScript 代码

·范围：只要使用了 App Router 且暴露在公网，即受影响

与以往漏洞对比

作为开发人员，需要对漏洞风险持最高敏感度和清晰认知：

·以往 (如 CVE - 2024 - 34351)：大多为 SSRF 或缓存投毒。尽管危险，但通常需配合特定代码写法或内网环境。

·本次 (CVE - 2025 - 66478)：是 RCE。这是安全漏洞中的“皇冠”，意味着攻击者可直接接管你的服务器 Shell。其严重程度远超过去两年的所有 Next.js 漏洞。

影响范围

该漏洞主要影响使用 App Router 的版本，Pages Router 不受影响。

受影响版本：

·Next.js 16.x：< 16.0.7

·Next.js 15.x：所有未打补丁的版本

·Next.js 14.x Canary：>= 14.3.0 - canary.77

·(注：Next.js 14.x Stable (稳定版) 不受影响)

修复方案

官方已针对不同次版本号发布了多个补丁，请依据你当前版本选择升级：

安全版本清单 (升级到以下版本或更高)：

·v16.0.7

·v15.5.7

·v15.4.8

·v15.3.6

·v15.2.6

·v15.1.9

·v15.0.5

升级命令

通用升级 (自动匹配最新 patch 补丁)

npm install next@latest react@latest react - dom@latest

指定版本 (比如在 v15.1.9)

npm install next@15.1.9

临时缓解方案

如果你暂时无法升级：

·目前 Vercel 平台已在边缘层拦截了相关攻击请求。

·自托管 (Self - hosted) 用户必须升级，没有简单的配置项可关闭此漏洞。

各位开发者，请从速升级，以获取最佳防护措施。

作者：场长

来源：

Critical RSC Bugs in React and Next.js Allow Unauthenticated Remote Code Execution

https://thehackernews.com/2025/12/critical-rsc-bugs-in-react-and-nextjs.html