• CVE编号：CVE-2025-55182、CVE-2025-66478
• 漏洞等级：紧急
• 利用复杂度：容易
• 披露时间：2025-12-04
• 处置优先级：高
• 补丁情况：官方补丁

1. 漏洞描述

Next.js 是基于 React 的开源 Web 框架，用于构建 SSR、静态站点与混合渲染应用。在受影响版本中，Next.js App Router 将来自客户端的 RSC 序列化数据时，由于 RSC 在处理 ReplyFlightStream 的反序列化数据时，攻击者可构造恶意请求，最终导致未授权代码执行。

注：Umami 等热门开源项目正在使用 Next.js，并且大概率处于受影响范围内，请务必做好自查工作，避免潜在风险。

2. 影响范围

• 14.3.0-canary.77 <= Next < 15.0.5
• 15.1.0 <= Next < 15.1.9
• 15.2.0 <= Next < 15.2.6
• 15.3.0 <= Next < 15.3.6
• 15.4.0 <= Next < 15.4.8
• 15.5.0 <= Next < 15.5.7
• 16.0.0 <= Next < 16.0.7

其余 14.x 稳定版本 或者 14.3.0-canary.76版本，或更低版本不受影响

3. 自查修复

自查方法: 打开项目文件夹下 package.json ，找到next行的版本，如 "next": "^15.5.2", 。目前该漏洞技术细节已在互联网上公开，鉴于影响范围较大，建议用户尽快做好自查及防护。

修复方案

Ⅰ. 核心包升级

根据查询到的 nextjs 框架版本使用对应命令：

• React 19.0.1（修复19.0.0）
• React 19.1.2（修复19.1.0和19.1.1）
• React 19.2.1（修复19.2.0）

升级React核心包到最新版本

npm install react@latest react-dom@latest

升级受影响的服务器组件包

npm install react-server-dom-webpack@latest
npm install react-server-dom-parcel@latest
npm install react-server-dom-turbopack@latest

Ⅱ. 框架升级

升级命令（根据当前版本选择对应的修复版本）：

npm install next@15.0.5 # 适用于15.0.x用户
npm install next@15.1.9 # 适用于15.1.x用户
npm install next@15.2.6 # 适用于15.2.x用户
npm install next@15.3.6 # 适用于15.3.x用户
npm install next@15.4.8 # 适用于15.4.x用户
npm install next@15.5.7 # 适用于15.5.x用户
npm install next@16.0.7 # 适用于16.0.x用户

对于使用Next.js 14.3.0-canary.77或更高canary版本的用户，建议降级到最新的14.x稳定版本：

npm install next@14

如果使用React Router的不稳定RSC API，需要升级相关依赖：

npm install react@latest react-dom@latest
npm install react-server-dom-parcel@latest
npm install react-server-dom-webpack@latest
npm install @vitejs/plugin-rsc@latest

更新完成后，不要忘记重启相关服务。

附参考链：

文章内容大部分来自网络收集整合，如有侵权，请联系我们: hi#586866.xyz
7iNET.MOE | @xioiox