Next.js 漏洞

Next.js 存在严重 RSC 远程代码执行高危漏洞 (CVE-2025-66478)，官方已紧急发布修复，建议 Next.js 15/16 及部分 14.x Canary 用户立即升级。

这个漏洞被评为 CVSS 最高风险等级 10.0。攻击者无需任何认证,仅通过网络就能向你的服务器发送特殊构造的 HTTP 请求,触发 React Server Components 在反序列化过程中的缺陷,从而在服务器上执行任意代码。

腾讯云警告

这个漏洞是我服务器上的 Umami 应用使用到了 Next.js 框架，腾讯云那几天一直给我发警告，但是那段时间正忙，想着就一点博客内容，还都已经备份了，就无所谓了一直没有管，直到腾讯云发警告说再不处理，直接封停服务器。

处理病毒

刚开始我不知道是 Umami 使用了 Next.js 框架，我就把文件备份了一遍，然后系统重装了两遍，结果腾讯云还是一直在发警告，直到有人提醒说是 Umami 需要更新，才恍然大悟，更新了之后果然就好了。这几天想了一下，也用不太到统计功能，就干脆把 Umami 服务下掉了。

© 版权声明

文章版权归作者所有，未经允许请勿转载。