重大 Next.js 漏洞问题,小心账单爆炸

出海 Web开发 转载

早上好,朋友们!

最近Next.js 爆出重大安全漏洞,CVE-2025-66478 未经鉴权即可远程执行代码。我起初并没有在意,发现很多群友都中招了,有的被加密勒索了,有的被远程植入挖矿程序了。然后我去看我vercel,发现我的项目也中招了。

图片

有一个没什么流量的网站,cpu 占用激增,但是访客并没有什么变化。还好账单消耗的不对,要是发现的晚,可能就账单爆炸了。

所有朋友们一定要去检查修复这个漏洞。

图片

图片

Vercel 的顶部会有你异常项目的提示,点击可以查看到被影响的项目,然后依次升级next js 和 react版本,我的react版本是19.0.0  nextjs 版本是15.2.1,可以问AI建议升级到哪个版本,我Nextjs升级到15.2.6,React升级到19.0.1, 改动其实也很小,大家一定要重视啊。

原文来自微信公众号,原始链接:原文