Ну приплыли, NextJS от 14.3, NextJS 15 - все версии, Next.js 16 - все версии, remote code execution через Server Side Components. https://nextjs.org/blog/CVE-2025-66478 У Vercel, кстати, биполярка. Смотрите как сначала воду льют: The vulnerable RSC protocol allowed untrusted inputs to influence server-side execution behavior. Under specific conditions, an attacker could craft requests that trigger unintended server execution paths. Уязвимый протокол RSC позволял недоверенным входным данным влиять на поведение серверного выполнения кода. При определённых условиях злоумышленник мог создавать запросы, которые вызывают непредусмотренные пути выполнения на сервере. Но следом - честнее: Это может привести к удалённому выполнению кода в незащищённых окружениях. Подробностей - нет. Ну что ж, пойдемте обновляться (боже дай сил тем, кто изменил код так, что автоапдейт не пройдет). There is no configuration option to disable the vulnerable code path.