描述:
React 及 Next.js 发布了一个安全公告,以应对近期影响 React 伺服器元件和 Next.js 的保安威胁活动。请透过以下网址参考详细资料:
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
https://nextjs.org/blog/CVE-2025-66478
有报告指 React 伺服器元件及 Next.js 的远端执行程式码漏洞 (CVE-2025-55182 及 CVE-2025-66478) 已被公开 。强烈建议系统管理员应立即为受影响的系统採取缓解措施,包括将 React 伺服器元件 和 Next.js 更新至相应版本,以降低网络攻击的风险。
受影响的系统:
- React 伺服器元件 19.0、19.1.0、19.1.1 及 19.2.0 之前的版本
- Next.js 14.3.0-canary.77、15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7 及 16.0.7 之前的版本
影响:
成功利用漏洞可以导致受影响的系统发生远端执行程式码。
建议:
受影响系统的系统管理员应遵从供应商的建议,立即採取行动以降低风险。
进一步资讯:
- https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
- https://nextjs.org/blog/CVE-2025-66478
- https://www.cve.org/CVERecord?id=CVE-2025-55182
- https://www.cve.org/CVERecord?id=CVE-2025-66478
