描述:
React 及 Next.js 發布了一個安全公告,以應對近期影響 React 伺服器元件和 Next.js 的保安威脅活動。請透過以下網址參考詳細資料:
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
https://nextjs.org/blog/CVE-2025-66478
有報告指 React 伺服器元件及 Next.js 的遠端執行程式碼漏洞 (CVE-2025-55182 及 CVE-2025-66478) 已被公開 。強烈建議系統管理員應立即為受影響的系統採取緩解措施,包括將 React 伺服器元件 和 Next.js 更新至相應版本,以降低網絡攻擊的風險。
受影響的系統:
- React 伺服器元件 19.0、19.1.0、19.1.1 及 19.2.0 之前的版本
- Next.js 14.3.0-canary.77、15.0.5、15.1.9、15.2.6、15.3.6、15.4.8、15.5.7 及 16.0.7 之前的版本
影響:
成功利用漏洞可以導致受影響的系統發生遠端執行程式碼。
建議:
受影響系統的系統管理員應遵從供應商的建議,立即採取行動以降低風險。
進一步資訊:
- https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components
- https://nextjs.org/blog/CVE-2025-66478
- https://www.cve.org/CVERecord?id=CVE-2025-55182
- https://www.cve.org/CVERecord?id=CVE-2025-66478
