: CVE-2025-66478 (Next.js) | CVE-2025-55182 (React)

: Next.js 15.x、16.x 及部分 14.x canary 版本

React 官方与 Next.js 团队刚刚发布紧急安全通告:React Server Components (RSC) 协议存在严重漏洞,允许未经认证的攻击者通过构造恶意请求在服务器端执行任意代码。使用 App Router 的 Next.js 应用受到直接影响。官方已发布修复版本,

如果你的项目同时满足以下条件,

(不是 Pages Router),且版本在 15.0.0 ~ 15.0.4、15.1.0 ~ 15.1.8、15.2.0 ~ 15.2.5、15.3.0 ~ 15.3.5、15.4.0 ~ 15.4.7、15.5.0 ~ 15.5.6、16.0.0 ~ 16.0.6,或 14.3.0-canary.77 及以上 canary 版本。

Next.js 13.x 版本、14.x 稳定版,或使用 Pages Router 的项目,以及运行在 Edge Runtime 的应用。

。攻击者无需任何认证,仅通过网络就能向你的服务器发送特殊构造的 HTTP 请求,触发 React Server Components 在反序列化过程中的缺陷,从而在服务器上执行任意代码。

攻击者可以在你的服务器上运行任意代码,读取环境变量、配置文件、数据库凭证等敏感信息。更严重的情况下,还可能接管整个服务器资源。

即使你的应用没有明确定义 Server Function 端点,启用了 RSC 支持就可能受到攻击。官方暂未公开更详细的技术细节,以保护未升级用户。

根据你当前使用的 Next.js 版本,执行对应的升级命令:

# Next.js 15.0.x 用户
npm install next@15.0.5

# Next.js 15.1.x 用户
npm install next@15.1.9

# Next.js 15.2.x 用户
npm install next@15.2.6

# Next.js 15.3.x 用户
npm install next@15.3.6

# Next.js 15.4.x 用户
npm install next@15.4.8

# Next.js 15.5.x 用户
npm install next@15.5.7

# Next.js 16.0.x 用户
npm install next@16.0.7


14.3.0-canary.77 或更高的 canary 版本

升级完成后,建议执行以下检查:

如果你负责多个项目或团队基础设施,可以按照以下清单逐一排查:

确认所有生产项目的 Next.js 版本 → 识别使用 App Router 的项目(Pages Router 不受影响)→ 执行升级并更新依赖锁文件 → 在预发布环境测试修复版本 → 部署到生产环境 → 检查监控和日志,确认无异常请求。

: 即使托管服务商(如 Vercel)已经部署临时 WAF 规则来缓解攻击,官方仍强烈建议升级,不要依赖临时防护措施。

此漏洞源于 React Server Components 的底层实现(CVE-2025-55182)。如果你直接使用 React 19 并启用了 RSC,也需要升级对应的 React 包:

其他集成 RSC 的框架(如 React Router、Waku、Redwood SDK)也可能受影响,请查阅各自社区的安全通告。

 发现并负责任地披露了这个漏洞。

2025年12月3日,官方发布安全通告与修复版本;12月4日,国内社区开始传播升级提醒。

这是一个影响广泛的漏洞。如果你的生产环境正在使用 Next.js 15/16 的 App Router,建议尽快完成升级。漏洞可被未认证攻击者远程利用,拖延升级会让服务器暴露在风险之下。

升级过程通常只需几分钟,但能避免可能的重大安全风险。

Next.js 15/16 用户必看 官方发布严重安全漏洞修复,务必立即升级

Next.js 存在严重 RSC 远程代码执行高危漏洞 (CVE-2025-66478)，官方已紧急发布修复，建议 Next.js 15/16 及部分 14.x canary 用户立即升级；漏洞威胁服务器安全，影响所有开启 App Router 的项目

前端

安全

新闻资讯

数据库

服务器

4核4G3M云服务器 新用户低至38元/年！

2026新春采购季

tencentdb-catalog

文章

问答

视频

教程

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云智能顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云AI代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

功能1上新10个字符

功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符功能2描述100个字符。

功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符功能2上新100个字符。

功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符功能5描述100个字符

功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符功能5上新100个字符

功能4上新

文章&问答评论现已支持表情

全新交互，全新视觉，新增快捷键、悬浮工具栏、高亮块等功能并同时优化现有功能，全面提升创作效率和体验

社区富文本编辑器全新改版！诚邀体验～ 

精选全网热门MCP server，让你的AI更好用 🚀

💥开发者 MCP广场重磅上线！

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

聚焦“写作效率、视觉美观与运行性能”三方面进行全面升级，为您提供更高效、稳定的创作环境

社区富文本&Markdown编辑器全新改版上线，欢迎大家体验!

诚挚邀请您参与本次调研，分享您的真实使用感受与建议。您的反馈至关重要，感谢您的支持与参与！

Next.js 15/16 用户必看官方发布严重安全漏洞修复,务必立即升级

Next.js 15/16 用户必看官方发布严重安全漏洞修复,务必立即升级

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

Next.js 15/16 用户必看 官方发布严重安全漏洞修复,务必立即升级

Next.js 15/16 用户必看 官方发布严重安全漏洞修复,务必立即升级

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐

Next.js 15/16 用户必看官方发布严重安全漏洞修复,务必立即升级

Next.js 15/16 用户必看官方发布严重安全漏洞修复,务必立即升级