@Star_Knight12: Next.js 出现了史上最严重的漏洞,CVSS 8.6。→ 影响版本 13.4.13+、14.x、15.x 以及 16.0.0–16.2.4 →…
摘要
Next.js 存在一个严重漏洞(CVSS 8.6),影响版本 13.4.13+、14.x、15.x 以及 16.0.0–16.2.4,允许未经身份验证的攻击者访问内部服务、云凭证和 API 密钥。请立即升级到 15.5.16 或 16.2.5。
Next.js 刚刚出现了其史上最严重的漏洞,CVSS 8.6。→ 影响版本 13.4.13+、14.x、15.x 以及 16.0.0–16.2.4 → 攻击者可以访问你的内部服务、云凭证、API 密钥和管理面板 → 无需身份验证 → 只需一个精心构造的请求即可 → 目前约有 79,000 个实例可利用 → Vercel 托管的应用是安全的,自托管的不安全 → 请立即升级到 15.5.16 或 16.2.5。
相似文章
React2Shell 的故事以及 Next.js 的后续发展
本文详细介绍了 CVE-2025-5518(React2Shell)的发现与披露过程。这是一个存在于 React Server Components 中的严重远程代码执行漏洞,研究人员通过绕过 Flight 协议的验证机制来访问对象原型。
React2Shell 漏洞事件
安全研究员 Lachlan 于 2025 年 11 月 30 日发现并报告了一个名为“React2Shell”的严重远程代码执行漏洞,该漏洞存在于 React 服务器组件协议中,并向 Meta 进行了报告。Meta 于 12 月 3 日发布了修复程序和安全公告(CVE-2025-55182),敦促开发者立即更新,因为该漏洞影响了数百万使用 React/Next.js 构建的网站。
@tan_stack: 安全公告 —— TanStack npm 包遭遇供应链攻击,影响 42 个 @tanstack/* 包(共 84 个版本……
一次高危供应链攻击影响了 42 个 TanStack npm 包,导致云凭证和 SSH 密钥被窃取。建议用户在攻击时间窗口内安装过相关包的,立即轮换凭证并从干净的 lockfile 重新安装。
TanStack NPM 软件包遭入侵
报告显示 TanStack NPM 软件包存在安全漏洞,波及使用 TanStack Router 和 Start 框架的开发人员。
Anthropic Claude Code 泄露揭示严重命令注入漏洞
在 Anthropic 的 Claude Code CLI 和 SDK 中发现了严重命令注入漏洞(CVE-2026-35022,CVSS 9.8),攻击者能够通过环境变量、文件路径和身份验证助手执行任意命令并窃取凭据。这些缺陷使得在 CI/CD 环境中能够进行毒化流水线执行攻击,需要立即修补和配置更改。