Vývojáři Next.js oznámili kritickou zranitelnost v protokolu React Server Components, která nese skóre CVSS 10.0 a může za určitých podmínek umožnit vzdálené spuštění kódu na serveru.

Zranitelnost pramení z chyby v implementaci RSC v Reactu a má dopad na aplikace Next.js používající App Router. Útočník by mohl zformovat škodlivé požadavky, které ovlivní serverové vykonávání a vést k RCE v neopravených prostředích. Postiženy jsou zejména Next.js 15.x, 16.x a některé canary verze 14.3.0+.

Co teď dělat

Next.js vydal opravené verze – 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7. Uživatelé by měli co nejdříve upgradovat na patche ve své větvi.

Příklady příkazů pro instalaci:

npm install next@15.0.5   # pro 15.0.x
npm install next@15.1.9   # pro 15.1.x
npm install next@15.2.6   # pro 15.2.x
npm install next@15.3.6   # pro 15.3.x
npm install next@15.4.8   # pro 15.4.x
npm install next@15.5.7   # pro 15.5.x
npm install next@16.0.7   # pro 16.0.xCode language: PHP (php)

Pokud používáte canary verze 14.3.0-canary.77 nebo novější canary, doporučený je downgrade na stabilní 14.x verze.

npm install next@14Code language: CSS (css)