跳到主要内容

Security Advisory CVE-2025-66478

· 阅读需 4 分钟
张永豪
张永豪
系统运维
提示

2025年12月6日,太平洋标准时间晚上9:05更新
如果您的应用程序在2025年12月4日太平洋时间下午1:00之前处于在线状态且未打补丁,我们强烈建议您立即轮换该应用使用的所有密钥(secrets),并优先处理最关键的密钥。

提示

2025年12月6日,太平洋标准时间上午7:29更新
我们已发布一个 npm 包,用于更新受影响的 Next.js 应用程序。您现在可以运行 npx fix-react2shell-next 进行更新,或访问 GitHub 仓库了解更多信息。

React Server Components(RSC)协议中发现了一个严重漏洞。该漏洞的 CVSS 评分为 10.0(最高危),在未打补丁的环境中,攻击者可通过受控请求实现远程代码执行(RCE)。

该漏洞源于上游 React 实现(CVE-2025-55182)。本公告(CVE-2025-66478)追踪其对使用 App Router 的 Next.js 应用程序造成的下游影响。

影响范围

存在漏洞的 RSC 协议允许不可信输入影响服务器端执行行为。在特定条件下,攻击者可构造恶意请求,触发非预期的服务器执行路径,从而在未打补丁的环境中实现远程代码执行。

所有用户应立即升级至已修复的版本。具体操作指引请参见“所需操作”部分。

受影响的 Next.js 版本

使用 App Router 的 React Server Components 功能且运行以下版本的应用程序将受到影响:

  • Next.js 15.x
  • Next.js 16.x
  • Next.js 14.3.0-canary.77 及之后的所有 canary 版本

不受影响的版本包括

  • Next.js 13.x
  • Next.js 14.x 稳定版
  • 使用 Pages Router 的应用程序
  • Edge Runtime

已修复版本

以下 Next.js 版本已完全修复此漏洞:

  • 15.0.5
  • 15.1.9
  • 15.2.6
  • 15.3.6
  • 15.4.8
  • 15.5.7
  • 16.0.7

此外,我们还为 Next.js 15 和 16 的 canary 版本发布了修复补丁:

  • 15.6.0-canary.58(适用于 15.x canary 版本)
  • 16.1.0-canary.12(适用于 16.x canary 版本)

这些版本包含了加固后的 React Server Components 实现。

所需操作

所有用户应立即升级至其当前发布分支中最新的已修复版本:

npm install [email protected]   # 适用于 15.0.x
npm install [email protected]   # 适用于 15.1.x
npm install [email protected]   # 适用于 15.2.x
npm install [email protected]   # 适用于 15.3.x
npm install [email protected]   # 适用于 15.4.x
npm install [email protected]   # 适用于 15.5.x
npm install [email protected]   # 适用于 16.0.x

npm install [email protected]   # 适用于 15.x canary 版本
npm install [email protected]   # 适用于 16.x canary 版本

如果您当前使用的是 Next.js 14.3.0-canary.77 或之后的 canary 版本,请降级至最新的稳定版 14.x:

npm install next@14

如果您使用 canary 版本来启用 PPR(Partial Prerendering)功能,可升级至 15.6.0-canary.58,该版本在修复漏洞的同时继续支持 PPR。如需了解其他修补旧版本的方法,请参阅本讨论帖。

您也可以运行以下命令启动一个交互式工具,它将自动检测当前版本并根据上述建议执行确定性的版本升级:

npx fix-react2shell-next

更多信息请参见 GitHub 仓库。

信息

注意:此漏洞无临时规避方案——必须升级到已修复的版本。

轮换环境变量(密钥)

在完成版本修补并重新部署应用程序后,我们建议您轮换应用程序使用的所有密钥(secrets)。有关环境变量管理的详细信息,请参阅官方文档。

相关资源

  • Next.js 安全公告(CVE-2025-66478)
  • React 安全公告(CVE-2025-55182)
  • React 官方博客:《React Server Components 中的严重安全漏洞》
  • Vercel 知识库:《React2Shell 安全通告》
  • Netlify 博客:《Netlify 对 React 严重安全漏洞的响应》
  • AWS 安全博客:《与中国关联的网络威胁组织正快速利用 React2Shell 漏洞》
  • Google Cloud 博客:《应对 CVE-2025-55182:保护您的 React 与 Next.js 工作负载》

漏洞发现

感谢 Lachlan Davidson 发现并负责任地披露了此漏洞。为保护尚未升级的开发者,本公告有意省略了技术细节。