#НовостиРазработки 🛡Обновляем Next.js! ⚠️В Next.js обнаружена критическая уязвимость CVE-2025-66478, связанная с протоколом React Server Components (RSC). Она получила максимальный рейтинг CVSS 10.0, поскольку позволяет удалённое выполнение кода при обработке специально сформированных атакующих запросов. Проблема возникла в исходной реализации React (CVE-2025-55182) и влияет на приложения Next.js, использующие App Router. ❌Уязвимыми являются версии Next.js: 15.x, 16.x, а также 14.3.0-canary.77+. ✅Не затрагиваются: Next.js 13.x, 14.x stable, приложения на Pages Router, и Edge Runtime. ✅Исправления включены в патчи: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 15.6.0-canary.58, 16.0.7 — в них реализована защищённая версия RSC. Рекомендуемые действия: обновиться на соответствующий патч своей мажорной версии. Пользователям canary-сборок 14.3.0+ рекомендуется откатиться на стабильную 14.x. Для тех, кто использует PPR на canary, доступен фикс в 15.6.0-canary.58. Отключить уязвимую часть через конфигурацию невозможно. Уязвимость обнаружена исследователем Lachlan Davidson, подробности умышленно ограничены ради безопасности. 🔖Подробнее