CVE-2025-66478 (CVSS 10.0) เป็นช่องโหว่ร้ายแรงใน React Server Components (RSC) ที่ส่งผลกระทบต่อ Next.js App Router ทำให้ผู้โจมตีสามารถรันโค้ดระยะไกล (RCE) ได้ผ่านคำขอที่ควบคุมได้
📋 เวอร์ชันที่ได้รับผลกระทบ
| สถานะ | เวอร์ชัน |
|---|---|
| ❌ Vulnerable | Next.js 15.x และ 16.x ทั้งหมด |
| ❌ Vulnerable | Next.js 14.3.0-canary.77 ขึ้นไป |
✅ เวอร์ชันที่ปลอดภัย
| สถานะ | เวอร์ชัน |
|---|---|
| ✅ Safe | Next.js 13.x |
| ✅ Safe | Next.js 14.x stable |
| ✅ Safe | Pages Router |
| ✅ Safe | Edge Runtime |
🔧 เวอร์ชันที่แก้ไขแล้ว
# Next.js 15.x
npm install [email protected]
npm install [email protected]
npm install [email protected]
npm install [email protected]
npm install [email protected]
npm install [email protected]
# Next.js 16.x
npm install [email protected]
# Canary builds
npm install [email protected]
npm install [email protected]
ไม่แนะนำ: ใช้
DANGEROUSLY_DEPLOY_VULNERABLE_CVE_2025_66478=1🚀 วิธีอัปเดตทีละขั้นตอน
1. ตรวจสอบเวอร์ชันปัจจุบัน
npm list next
2. อัปเดตเป็นเวอร์ชันที่แก้ไข
# ตัวอย่างสำหรับ 15.x
npm install [email protected] react@latest react-dom@latest
# Canary -> Stable
npm install next@14
3. ลบ node_modules และติดตั้งใหม่
rm -rf node_modules package-lock.json
npm install
🎯 แนวทางปฏิบัติแนะนำ
- อัปเดตทันที หากใช้ Next.js 15.x/16.x + App Router
- ตรวจสอบ CI/CD ให้รัน
npm installก่อน build - ใช้ Dependabot ตรวจสอบ vulnerability อัตโนมัติ