CVE-2025-66478 Next.js框架RCE漏洞
CVE-2025-66478(Next.js框架的高危远程代码执行(RCE)漏洞)
漏洞类型
反序列化
发现时间
2025-12-05
基础知识科普
Next.js框架介绍
Next.js是一个用于构建全栈Web应用程序的React框架。next.js作为一款轻量级的应用框架,主要用于构建静态网站和后端渲染网站。Next.js基于文件系统的路由器,构建在服务器组件之上,支持布局、嵌套路由、加载状态、错误处理等。
简单判别框架特征
文件路径包括:/_next/static/
响应头有:x-powered-by:Next.js
常见web服务器搭配有哪些
Apache、Nginx、……
搜索语法
app="Next.js" && http.body="/_next/static/chunks/app/" && after="2025-12-01" && country="美国" && http.header.status_code="200"
漏洞影响范围
Next.js 版本:≥14.3.0-canary.77、≥15 和 ≥16 的所有版本(如 15.1.0、16.0.6)
漏洞利用条件
参考文档:
https://dahezhiquan.blog.csdn.net/article/details/155564011
本文来自博客园,作者:怀玉,转载请注明原文链接:https://www.cnblogs.com/etc/p/19350340