漏洞描述

Next.js 是基于 React 的开源 Web 框架，用于构建 SSR、静态站点与混合渲染应用。

受影响版本中（最早于2024年5月开始集成React 19），Next.js App Router 将来自客户端的 RSC 序列化数据直接交由 ReactFlightReplyServer 反序列化，未对模型结构、引用路径与 Server Reference 元数据进行充分校验。攻击者可构造恶意 RSC请求，引导 parseModelString、getOutlinedModel、loadServerReference、initializeModelChunk 等解析链路进入异常状态，在模块加载与引用绑定阶段控制调用目标，最终在 Next.js 中可触发任意服务端代码执行。

Next.js 通过升级相关依赖并绑定至修复后的 RSC 解析入口，消除攻击者利用恶意 RSC请求实现代码执行的路径。

影响范围

next@[15.1.1-canary.0,15.1.9)

next@[14.3.0-canary.77,15.0.5)

next@[15.5.1-canary.0,15.5.7)

next@[15.2.0-canary.0,15.2.6)

next@[15.3.0-canary.0,15.3.6)

next@[15.4.0-canary.0,15.4.8)

next@[16.0.0-canary.0,16.0.7)

修复方案

将组件 next 升级至 15.1.9 及以上版本

将组件 next 升级至 15.0.5 及以上版本

将组件 next 升级至 15.5.7 及以上版本

将组件 next 升级至 15.2.6 及以上版本

将组件 next 升级至 15.3.6 及以上版本

将组件 next 升级至 15.4.8 及以上版本

将组件 next 升级至 16.0.7 及以上版本

参考链接

https://www.oscs1024.com/hd/MPS-qbkj-1z9n

https://nvd.nist.gov/vuln/detail/CVE-2025-66478

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc