最近,技术圈被一个安全漏洞炸翻了。
React 的核心协议 RSC(Server Components Flight Protocol) 被曝出存在一个高危漏洞,可导致 未认证的远程代码执行(RCE)。
CVSS 评级:10.0 / Critical(最高级别)
而最受影响的框架,就是我们平时最常用的 —— Next.js。
只要你使用 App Router + Server Components(绝大多数人默认就是这个),你就有可能在无意间把自己的服务器暴露在互联网上,被任何人远程执行代码。
听起来像电影剧情?
很遗憾,这是真的。
🔥 漏洞到底有多严重?
简单理解:攻击者只需要发一个精心构造的请求,就能让你的服务器执行任意代码。
这意味着:
你的服务器可以被远程控制
你的环境变量(数据库密码、Stripe Key、OpenAI Key)可能直接被窃取
你的所有用户数据可能被泄露
你运行的一切 API、Agent、任务调度都可能被操控
换句话说:
如果你有线上项目没修补这个漏洞,你的服务器基本等于“裸奔”。
🎯 哪些版本受影响?
看这里 👇
受影响
Next.js 15.x
Next.js 16.x
14.3.0-canary.77 之后的所有 Canary
如果你最近刚用 create-next-app 搭了新项目?
没错,你大概率就是上述版本之一。
部分不受影响
Next.js 13.x
稳定的 Next.js 14.x(且使用 Pages Router)
完全运行在 Edge Runtime 上的项目
但绝大多数独立开发者、创业者做的项目,都用的是 App Router,所以风险依然很高。
🛡️ 官方给出的唯一解决方案:升级!
Next.js 官方已经承认影响范围巨大,并紧急发布补丁版本。
📌 修复版本包括:
15 系列:15.0.5 ~ 15.5.7
16 系列:16.0.7
Canary:15.6.0、16.1.0 等最新补丁版
官方特别强调:
❌ 没有临时 workaround
❌ 没有配置项可以关闭 RSC 协议
必须升级才安全
也就是说:
你不升级,就是漏洞敞开。
🧭 如何检查你的项目是否中招?
运行:
npm list next
# 或
yarn list next
只要你的版本出现在受影响列表内,就必须升级。
升级完成后记得:
重新构建
重新部署
确保新版本已经生效。
💡 为什么现代框架漏洞越来越影响全行业?
这次事件暴露了一个问题:
当底层协议(而不是你写的业务代码)出现漏洞时,整个生态都会被牵连。
Next.js、Remix、Expo、Vercel、Bun 等现代框架,都广泛使用 React 的 RSC 协议。
越强大的框架,内部链路越复杂,一旦底层出问题,影响的就不只是一个框架,而是整个生态。
这也提醒我们:
框架是工具不是护身符
安全永远是工程体系的底线
依赖越多,风险越大
🚀 独立开发者应该怎么做?
给你一个最实用的 checklist:
✔ 1. 立即升级 Next.js
(越快越好)
✔ 2. 检查服务器是否有异常请求
尤其是:
不明来源的 POST 请求
尝试访问
.rsc或 RSC 协议路径的行为
✔ 3. 检查环境变量是否泄露
如果泄露意味着:
OpenAI Key 可能被刷
Stripe Key 可能被扣款
数据库可能被访问
✔ 4. 定期关注框架安全公告
特别是:Next.js、React、Vercel、Node.js 生态。
🎤 最后说一句
作为独立开发者,我们往往把更多精力放在产品、功能、流量、变现上,却容易忽视“安全”这个隐藏地雷。
但这次 CVE-2025-66478 的级别太高、影响太广、攻击成本太低。
绝不是“等有空再修”的事情。
请务必升级。立即升级。马上升级。