漏洞详情
包管理器: npm 受影响包: next (npm)
受影响的版本
- >= 14.3.0-canary.77, < 15.0.5
- >= 15.2.0-canary.0, < 15.2.6
- >= 15.3.0-canary.0, < 15.3.6
- >= 15.4.0-canary.0, < 15.4.8
- >= 16.0.0-canary.0, < 16.0.7
- >= 15.1.0-canary.0, < 15.1.9
- >= 15.5.0-canary.0, < 15.5.7
已修复的版本
- 15.0.5
- 15.2.6
- 15.3.6
- 15.4.8
- 16.0.7
- 15.1.9
- 15.5.7
描述
该漏洞影响特定版本的React包(19.0.0, 19.1.0, 19.1.1, 19.2.0)以及使用这些受影响包的框架,包括使用App Router的Next.js 15.x和16.x。此问题在上游被标记为CVE-2025-55182。
修复版本:
- React: 19.0.1, 19.1.2, 19.2.1
- Next.js: 15.0.5, 15.1.9, 15.2.6, 15.3.6, 15.4.8, 15.5.7, 16.0.7, 15.6.0-canary.58, 16.1.0-canary.12+
该漏洞也影响从14.3.0-canary.77开始的实验性Canary版本。使用任何14.3 Canary构建版本的用户应降级到14.x稳定版本或14.3.0-canary.76。
所有使用稳定版Next.js 15.x或16.x的用户应立即升级到已修复的稳定版本。
受影响的React包包括:
react-server-dom-parcelreact-server-dom-turbopackreact-server-dom-webpack
参考资料
- GHSA-9qr9-h5gf-34mp
- https://nvd.nist.gov/vuln/detail/CVE-2025-55182
严重性
等级:严重 CVSS总体评分:10.0
CVSS v3 基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 范围: 已更改
- 机密性影响: 高
- 完整性影响: 高
- 可用性影响: 高
CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
弱点
弱点: CWE-502 - 不可信数据的反序列化 描述: 产品在未充分确保结果数据有效的情况下反序列化了不可信的数据。
信息
- GHSA ID: GHSA-9qr9-h5gf-34mp
- 源代码仓库: vercel/next.js
- 发布时间: 2025年12月3日
- 最后更新: 2025年12月8日
- 状态: 已由GitHub审核