.jpg&w=1920&q=70)
CVE-2025-66478 เป็นช่องโหว่ระดับวิกฤตใน Next.js ที่ได้รับคะแนน CVSS 10.0 เต็ม ส่งผลกระทบต่อ React Server Components (RSC) ใน App Router ทำให้ผู้โจมตีสามารถรันโค้ดบนเซิร์ฟเวอร์ได้จากระยะไกล (Remote Code Execution) ช่องโหว่นี้กระทบ Next.js เวอร์ชัน 13.0 ถึง 14.2.15 และ 15.0 ถึง 15.1.3 นักพัฒนาควรอัปเดตเป็นเวอร์ชันที่แก้ไขแล้วโดยด่วน
CVE-2025-66478 คืออะไร
CVE-2025-66478 เป็นช่องโหว่ด้านความปลอดภัยที่ร้ายแรงใน Next.js เฟรมเวิร์กยอดนิยมสำหรับพัฒนาเว็บแอปพลิเคชัน React ช่องโหว่นี้อยู่ในส่วนของ React Server Components (RSC) Payload Processing ใน App Router
เมื่อผู้โจมตีส่ง Payload ที่ถูกสร้างขึ้นมาเป็นพิเศษผ่าน RSC Protocol ระบบจะ Deserialize ข้อมูลโดยไม่ได้ตรวจสอบอย่างเพียงพอ ส่งผลให้ผู้โจมตีสามารถรันโค้ดใดก็ได้บนเซิร์ฟเวอร์ (Remote Code Execution) ด้วยสิทธิ์ของ Process ที่รัน Next.js
เวอร์ชันที่ได้รับผลกระทบ
ช่องโหว่นี้ส่งผลกระทบต่อ Next.js หลายเวอร์ชัน
- Next.js 13.0.0 - 13.5.8 ทุกเวอร์ชันที่ใช้ App Router
- Next.js 14.0.0 - 14.2.15 ทุกเวอร์ชัน
- Next.js 15.0.0 - 15.1.3 ทุกเวอร์ชัน
เวอร์ชันที่แก้ไขแล้ว
- Next.js 14.2.16 ขึ้นไป
- Next.js 15.1.4 ขึ้นไป
โปรเจกต์ที่ใช้ Pages Router เท่านั้น (ไม่ใช้ App Router) จะไม่ได้รับผลกระทบ
ความร้ายแรงของช่องโหว่
CVSS Score 10.0
คะแนน CVSS 10.0 คือคะแนนสูงสุดที่เป็นไปได้ หมายความว่าช่องโหว่นี้
- โจมตีจากระยะไกลได้ ไม่ต้องเข้าถึงเซิร์ฟเวอร์โดยตรง
- ไม่ต้องมีสิทธิ์พิเศษ ผู้โจมตีไม่ต้อง Login หรือมี Account
- ไม่ต้องมีปฏิสัมพันธ์จากผู้ใช้ ทำงานโดยอัตโนมัติ
- ผลกระทบสูงสุด สามารถเข้าถึงข้อมูล แก้ไขข้อมูล และทำให้ระบบล่มได้
Remote Code Execution (RCE)
ผู้โจมตีที่ Exploit ช่องโหว่นี้สำเร็จสามารถ
- รันคำสั่งใดก็ได้บนเซิร์ฟเวอร์
- อ่านไฟล์ระบบรวมถึง Environment Variables ที่มี Secret Keys
- เข้าถึงฐานข้อมูลและข้อมูลที่ละเอียดอ่อน
- ใช้เซิร์ฟเวอร์เป็นฐานโจมตีระบบอื่น
วิธีตรวจสอบว่าได้รับผลกระทบหรือไม่
ตรวจสอบเวอร์ชัน Next.js
ตรวจสอบเวอร์ชัน Next.js ในไฟล์ package.json ของโปรเจกต์ หากเวอร์ชันอยู่ในช่วงที่ได้รับผลกระทบ ให้ดำเนินการแก้ไขทันที
ตรวจสอบการใช้ App Router
หากโปรเจกต์มีโฟลเดอร์ app/ และใช้ React Server Components แสดงว่าใช้ App Router และอาจได้รับผลกระทบ
วิธีแก้ไข
อัปเดต Next.js
วิธีที่ดีที่สุดคืออัปเดต Next.js เป็นเวอร์ชันที่แก้ไขแล้ว
- สำหรับ Next.js 14: อัปเดตเป็น 14.2.16 ขึ้นไป
- สำหรับ Next.js 15: อัปเดตเป็น 15.1.4 ขึ้นไป
มาตรการชั่วคราว
หากยังไม่สามารถอัปเดตได้ทันที ให้พิจารณามาตรการชั่วคราว
- ใช้ WAF (Web Application Firewall) เพื่อกรอง Payload ที่น่าสงสัย
- จำกัดการเข้าถึง RSC Endpoint จาก IP ที่เชื่อถือได้
- เพิ่มการ Monitor Log เพื่อตรวจจับกิจกรรมที่ผิดปกติ
แนวทางป้องกันในระยะยาว
อัปเดตซอฟต์แวร์อย่างสม่ำเสมอ
ควรติดตาม Security Advisory ของ Next.js และ Dependencies ทั้งหมดอย่างสม่ำเสมอ ตั้งค่า Dependabot หรือ Renovate เพื่อแจ้งเตือนเมื่อมีอัปเดตด้านความปลอดภัย
ใช้ระบบรักษาความปลอดภัยหลายชั้น
ไม่ควรพึ่งพาความปลอดภัยของแอปพลิเคชันเพียงอย่างเดียว ควรมีระบบรักษาความปลอดภัยหลายชั้น รวมถึง Firewall, WAF, IDS/IPS และ Runtime Application Self-Protection (RASP)
เลือก Hosting ที่ปลอดภัย
การเลือก Hosting หรือ VPS ที่มีระบบรักษาความปลอดภัยในตัวช่วยลดความเสี่ยงจากการถูกโจมตีได้อย่างมาก
คำถามที่พบบ่อย
ใช้ Next.js แบบ Pages Router ได้รับผลกระทบไหม?
ไม่ ช่องโหว่นี้เกิดเฉพาะใน App Router ที่ใช้ React Server Components โปรเจกต์ที่ใช้ Pages Router เท่านั้นจะไม่ได้รับผลกระทบ
อัปเดตแล้วต้องทำอะไรเพิ่มเติมหรือไม่?
หลังอัปเดตแล้ว ควรตรวจสอบ Log เพื่อดูว่ามีการพยายามโจมตีก่อนหน้าหรือไม่ หากพบสัญญาณของการ Exploit ควรตรวจสอบระบบอย่างละเอียดและเปลี่ยน Secret Keys ทั้งหมด
CVE-2025-66478 ถูก Exploit ในธรรมชาติแล้วหรือยัง?
ควรติดตามข้อมูลจาก NVD (National Vulnerability Database) และ Security Advisory ของ Vercel อย่างสม่ำเสมอ เพราะสถานะการถูก Exploit อาจเปลี่ยนแปลงได้ตลอดเวลา
ใช้ Next.js เวอร์ชัน 12 ได้รับผลกระทบไหม?
Next.js 12 ไม่มี App Router และ React Server Components จึงไม่ได้รับผลกระทบจากช่องโหว่นี้ อย่างไรก็ตาม Next.js 12 อาจมีช่องโหว่อื่นที่ได้รับการแก้ไขในเวอร์ชันใหม่ ควรอัปเดตเป็นเวอร์ชันล่าสุดเมื่อเป็นไปได้
สรุป
CVE-2025-66478 เป็นช่องโหว่ระดับวิกฤตใน Next.js ที่ได้รับคะแนน CVSS 10.0 ส่งผลให้ผู้โจมตีสามารถ RCE บนเซิร์ฟเวอร์ได้ นักพัฒนาที่ใช้ Next.js ควรอัปเดตเป็นเวอร์ชันที่แก้ไขแล้วโดยด่วน
หากคุณต้องการเซิร์ฟเวอร์ที่มีระบบรักษาความปลอดภัยครบวงจรสำหรับ Deploy Next.js Application DriteStudio พร้อมให้บริการ Hosting, VPS และโซลูชันด้านความปลอดภัยที่ช่วยปกป้องแอปพลิเคชันของคุณจากภัยคุกคาม ติดต่อทีมงานเพื่อรับคำปรึกษา