CVE-2025-66478 ร้ายแรงใน Next.js: วิธีอัปเดตและป้องกัน RCE ใน React Server Components

รายละเอียดช่องโหว่ CVE-2025-66478 ใน Next.js ด้วย App Router ที่อาจนำ RCE ร้องขอที่ควบคุมได้ พร้อมวิธีอัปเดตเวอร์ชันที่ได้รับการแก้ไขและแนวทางปฏิบัติ

cve-December 6, 2025-更新: March 7, 2026

CVE-2025-66478 (CVSS 10.0) เป็นช่องโหว่ร้ายแรงใน React Server Components (RSC) ที่ส่งผลกระทบต่อ Next.js App Router ทำให้ผู้โจมตีสามารถรันโค้ดระยะไกล (RCE) ได้ผ่านคำขอที่ควบคุมได้

📋 เวอร์ชันที่ได้รับผลกระทบ

สถานะ	เวอร์ชัน
❌ Vulnerable	Next.js 15.x และ 16.x ทั้งหมด
❌ Vulnerable	Next.js 14.3.0-canary.77 ขึ้นไป

✅ เวอร์ชันที่ปลอดภัย

สถานะ	เวอร์ชัน
✅ Safe	Next.js 13.x
✅ Safe	Next.js 14.x stable
✅ Safe	Pages Router
✅ Safe	Edge Runtime

🔧 เวอร์ชันที่แก้ไขแล้ว

# Next.js 15.x
npm install [email protected]
npm install [email protected]
npm install [email protected]
npm install [email protected]
npm install [email protected]
npm install [email protected]
# Next.js 16.x
npm install [email protected]
# Canary builds
npm install [email protected]
npm install [email protected]

⚠️ คำเตือน: Vercel บล็อกการ deploy เวอร์ชัน vulnerable แล้ว
ไม่แนะนำ: ใช้ DANGEROUSLY_DEPLOY_VULNERABLE_CVE_2025_66478=1

🚀 วิธีอัปเดตทีละขั้นตอน

1. ตรวจสอบเวอร์ชันปัจจุบัน

npm list next

2. อัปเดตเป็นเวอร์ชันที่แก้ไข

# ตัวอย่างสำหรับ 15.x
npm install [email protected] react@latest react-dom@latest
# Canary -> Stable
npm install next@14

3. ลบ node_modules และติดตั้งใหม่

rm -rf node_modules package-lock.json
npm install

🎯 แนวทางปฏิบัติแนะนำ

อัปเดตทันที หากใช้ Next.js 15.x/16.x + App Router
ตรวจสอบ CI/CD ให้รัน npm install ก่อน build
ใช้ Dependabot ตรวจสอบ vulnerability อัตโนมัติ