.jpg)
Next.js CVE-2025-66478
Next.js CVE-2025-66478
CVE-2025-66478: ช่องโหว่ร้ายแรงใน Next.js
CVE-2025-66478 เป็นช่องโหว่ร้ายแรง (CVSS 10.0) ในโปรโตคอล React Server Components (RSC) ที่ส่งผลกระทบต่อแอปพลิเคชัน Next.js ที่ใช้ App Router ทำให้ผู้โจมตีสามารถรันโค้ดระยะไกล (RCE) ได้โดยการส่งคำขอที่ควบคุมได้. ช่องโหว่นี้มีต้นกำเนิดจาก React (CVE-2025-55182) และ Vercel แนะนำให้อัปเดตทันทีเพื่อป้องกัน
เวอร์ชันที่ได้รับผลกระทบ
- Next.js 15.x และ 16.x ทั้งหมด
- Next.js 14.3.0-canary.77 ขึ้นไป
เวอร์ชันที่ไม่ได้รับผลกระทบ ได้แก่ Next.js 13.x, Next.js 14.x stable, แอป Pages Router และ Edge Runtime
เวอร์ชันที่แก้ไขแล้ว
อัปเดตเป็นเวอร์ชันเหล่านี้เพื่อปิดช่องโหว่:
- 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7
- 16.0.7
- Canary: 15.6.0-canary.58, 16.1.0-canary.12
Vercel บล็อกการ deploy เวอร์ชัน vulnerable แล้ว แต่สามารถปิดได้ด้วยตัวแปร DANGEROUSLY_DEPLOY_VULNERABLE_CVE_2025_66478=1 (ไม่แนะนำ)
วิธีอัปเดต
รันคำสั่ง npm install ตามเวอร์ชัน เช่น npm install next@15.0.5 สำหรับ 15.0.x หรือ downgrade canary เป็น stable 14.x ด้วย npm install next@14. ไม่มีวิธีปิดช่องโหว่ด้วย config ชั่วคราว ต้องอัปเดตเท่านั้น ช่องโหว่นี้ถูกค้นพบโดย Lachlan Davidson และยังไม่มีรายงานการโจมตีใน wild ณ วันที่ 3 ธ.ค. 2025
