Kritická chyba v Next.js – umožňuje RCE

Publikováno: 4.12.2025

#Webový vývoj#JS#Next#Next.js#RCE#React

Vývojáři Next.js oznámili kritickou zranitelnost v protokolu React Server Components, která nese skóre CVSS 10.0 a může za určitých podmínek umožnit vzdálené spuštění kódu na serveru. Zranitelnost pramení z chyby v implementaci RSC…

Celý článek

Vývojáři Next.js oznámili kritickou zranitelnost v protokolu React Server Components, která nese skóre CVSS 10.0 a může za určitých podmínek umožnit vzdálené spuštění kódu na serveru.

Zranitelnost pramení z chyby v implementaci RSC v Reactu a má dopad na aplikace Next.js používající App Router. Útočník by mohl zformovat škodlivé požadavky, které ovlivní serverové vykonávání a vést k RCE v neopravených prostředích. Postiženy jsou zejména Next.js 15.x, 16.x a některé canary verze 14.3.0+.

Co teď dělat

Next.js vydal opravené verze – 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7. Uživatelé by měli co nejdříve upgradovat na patche ve své větvi.

Příklady příkazů pro instalaci:

npm install next@15.0.5# pro 15.0.x
npm install next@15.1.9# pro 15.1.x
npm install next@15.2.6# pro 15.2.x
npm install next@15.3.6# pro 15.3.x
npm install next@15.4.8# pro 15.4.x
npm install next@15.5.7# pro 15.5.x
npm install next@16.0.7# pro 16.0.x

Pokud používáte canary verze 14.3.0-canary.77 nebo novější canary, doporučený je downgrade na stabilní 14.x verze.

npminstallnext@14

Nahoru
Tento web používá k poskytování služeb a analýze návštěvnosti soubory cookie. Používáním tohoto webu s tímto souhlasíte. Další informace