严重 Next.js 安全警报：立即修补 'React2Shell' RCE

Source: Dev.to

影响

• 完全的服务器妥协，包括数据盗窃和系统接管。

立即修补计划（3 步）

更新核心包

您必须将 Next.js 和 React 包更新到最新的已修补版本。

推荐方法（工具）

npx fix-react2shell-next

npm install next@latest react@latest react-dom@latest
# next@16.0.7 or later

了解边缘防护（Vercel 用户）

如果您托管在 Vercel，平台级的 Web 应用防火墙（WAF）规则已部署，以作为针对已知漏洞利用模式的临时防护。

重要： WAF 是临时修复。漏洞仍然存在于您的应用代码中，直到您在第 1 步中应用代码更新。不要跳过依赖更新。

修补后卫生

如果您的应用运行了易受攻击的版本，请假设可能已经发生泄露：

• 轮换密钥： 立即更改环境变量中的所有敏感密钥（例如 DB_URL、API_KEY 等）。
• 审计日志： 检查服务器日志中是否有异常的 POST 请求或意外的 shell 命令。

---

此警报由 WebMixStudio 团队提供，专注于安全的 Next.js 开发。