☕️ Кофе, код и AI | Про WebDev, DevOps, AI и пр.
@konstantin_likhachev125 подп.
170просмотров
4 декабря 2025 г.
📷 ФотоScore: 187
⚠️ Критическая уязвимость в Next.js RSC (CVE-2025-66478) 🧨 Что случилось В React Server Components (RSC) нашли критическую дыру с CVSS 10.0 — максимальный уровень жести. Уязвимость позволяет удалённо выполнить код на сервере при обработке специально сформированных запросов. То есть, если проект уязвим и доступен извне, атакующий теоретически может запускать произвольный код в вашем бекенде. 📌 Кого это касается Затронуты проекты на Next.js с App Router и RSC, если используются версии: • 15.x • 16.x • 14.3.0-canary.77 и новее canary-сборки НЕ затронуты: • Next.js 13.x • стабильные 14.x • проекты на Pages Router • Edge Runtime Если вы ещё не трогали App Router и RSC — можно ненадолго выдохнуть, но всё равно стоит проверить actual версию в package.json. 🛠 Что делать прямо сейчас Обновиться до патченных версий в своей линейке Next.js: npm install next@15.0.5 # для 15.0.x npm install next@15.1.9 # для 15.1.x npm install next@15.2.6 # для 15.2.x npm install next@15.3.6 # для 15.3.x npm install next@15.4.8 # для 15.4.x npm install next@15.5.7 # для 15.5.x npm install next@16.0.7 # для 16.0.x Если вы на 14.3.0-canary.77 или новее canary — откатиться на стабильный 14.x: npm install next@14 Выключить эту дыру конфигом нельзя — только обновление / даунгрейд. 🕵️ Кто нашёл проблему Уязвимость в RSC впервые описали на стороне самого React (CVE-2025-55182), а downstream-эффект для Next.js отслеживается как CVE-2025-66478. Исследователя зовут Lachlan Davidson — именно он ответственно раскопал и задокументировал проблему. 🧾 Краткий вывод Если у вас production-проект на Next.js с App Router и React Server Components — проверяйте версию и обновляйтесь как можно скорее. Это не «потом как-нибудь», а прям «сегодня после кофе». ⸻ 🧃 Если такие разборы помогают держать проекты в безопасности — подписывайтесь на «Кофе, код и консоль», тут стараются, чтобы ваши проды падали только от деплоев, а не от хакеров. 📤 Видите друга, который любит жить на canary и говорить «та ну, и так сойдёт»? Киньте ему этот пост — пусть узнает, что «и так» уже не сойдёт. #nextjs #security #devsecops #react #кофекодиконсоль
170
просмотров
2167
символов
Да
эмодзи
Да
медиа

Другие посты @konstantin_likhachev

Ждали? Ждали же? Ну ждали же, да? Всё не то, всё не так: Ты — backend, я — fullstack, Как же так вс👁 229Хотел через Suno сгенерить в стиле Шуфутинского. Не вышло: песню загрузить не дает - копирайт, а тек👁 194🚀 Почему микроразметка — обязательный инструмент SEO для интернет-магазинов Микроразметка / структу👁 172🎉 PHP 8.5 официально вышел! Сегодня у нас маленький профессиональный праздник: стабильный релиз PHP👁 155📢 Русский язык на сайте с 1 марта 2026 — влияние на веб-проекты и штрафы 💻⚖️ 🧠 Что требует закон С👁 153
Все посты канала →
Аналитика каналаБаза постов
⚠️ Критическая уязвимость в Next.js RSC (CVE-2025-66478) 🧨 — @konstantin_likhachev | PostSniper