Next.js 漏洞
Next.js 存在严重 RSC 远程代码执行高危漏洞 (CVE-2025-66478),官方已紧急发布修复,建议 Next.js 15/16 及部分 14.x Canary 用户立即升级。
这个漏洞被评为 CVSS 最高风险等级 10.0。攻击者无需任何认证,仅通过网络就能向你的服务器发送特殊构造的 HTTP 请求,触发 React Server Components 在反序列化过程中的缺陷,从而在服务器上执行任意代码。
![图片[1] - 记录一次服务器病毒 - 云晓晨 KaiQi.Wang](https://cdn.kaiqi.wang/wp-content/uploads/2025/12/9181a38b1020251231150944.webp)
腾讯云警告
这个漏洞是我服务器上的 Umami 应用使用到了 Next.js 框架,腾讯云那几天一直给我发警告,但是那段时间正忙,想着就一点博客内容,还都已经备份了,就无所谓了一直没有管,直到腾讯云发警告说再不处理,直接封停服务器。
![图片[2] - 记录一次服务器病毒 - 云晓晨 KaiQi.Wang](https://cdn.kaiqi.wang/wp-content/uploads/2025/12/01e150484020251231145518.webp)
![图片[3] - 记录一次服务器病毒 - 云晓晨 KaiQi.Wang](https://cdn.kaiqi.wang/wp-content/uploads/2025/12/dc2c51f35520251231145621.webp)
处理病毒
刚开始我不知道是 Umami 使用了 Next.js 框架,我就把文件备份了一遍,然后系统重装了两遍,结果腾讯云还是一直在发警告,直到有人提醒说是 Umami 需要更新,才恍然大悟,更新了之后果然就好了。这几天想了一下,也用不太到统计功能,就干脆把 Umami 服务下掉了。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
![表情[Emjio/baojin.gif] - 云晓晨 KaiQi.Wang]( https://cdn.kaiqi.wang/wp-resource/smilies/Emjio/baojin.gif )
- 最新
- 最热
只看作者