提醒大家,一定要重视前两天 React 和 Next.js 爆出的漏洞,今天群里越来越多人中招了。
不要心存侥幸,只要你的项目是今年启动的,基本上都处在风险中,因为 Next.js 15 和 16 所有版本都有问题。
修复方法其实很简单,只要把你使用的 Next.js 和 React 版本升级到任意修复版本就可以。
如果你不想看漏洞报告或者看了还是不确定怎么做,我给你两个方案:
方案一:
如果你的产品是刚启动不久,我建议直接升级到 Next.js 16 最新版,参考这篇博客:https://nexty.dev/zh/blogs/how-to-upgrade-a-nextjs-15-project-to-nextjs-16
方案二:
根据 React 的更新指导,把所有涉及到的依赖升级到修复版本:https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components#update-instructions
例如:
- 你使用 next@15.3.0,那就升级到 next@15.3.6
- react 和 react-dom 直接升级到最新版
不要心存侥幸,只要你的项目是今年启动的,基本上都处在风险中,因为 Next.js 15 和 16 所有版本都有问题。
修复方法其实很简单,只要把你使用的 Next.js 和 React 版本升级到任意修复版本就可以。
如果你不想看漏洞报告或者看了还是不确定怎么做,我给你两个方案:
方案一:
如果你的产品是刚启动不久,我建议直接升级到 Next.js 16 最新版,参考这篇博客:https://nexty.dev/zh/blogs/how-to-upgrade-a-nextjs-15-project-to-nextjs-16
方案二:
根据 React 的更新指导,把所有涉及到的依赖升级到修复版本:https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components#update-instructions
例如:
- 你使用 next@15.3.0,那就升级到 next@15.3.6
- react 和 react-dom 直接升级到最新版
