Ánh Văn Hóa Blog

Lỗ hổng bảo mật CVE-2025-66478 ảnh hưởng nghiêm trọng đến Next.js (CVSS 10.0)

Phát hành: 3 tháng 12, 2025

Lỗ hổng bảo mật CVE-2025-66478 ảnh hưởng nghiêm trọng đến Next.js (CVSS 10.0)

Hôm nay mình muốn chia sẻ về một lỗ hổng bảo mật rất đáng chú ý đang khiến cộng đồng React và Next.js đặc biệt quan tâm: CVE-2025-66478.

Đây là một lỗ hổng nghiêm trọng với mức đánh giá CVSS 10.0 – mức cao nhất, tương đương các sự cố từng gây ảnh hưởng lớn như Log4Shell. Nếu bạn đang sử dụng Next.js với App Router, đặc biệt là React Server Components (RSC), thì bài viết này rất quan trọng.

Lỗ hổng này nằm ở đâu?

Lỗi xuất phát từ giao thức React Server Components (RSC) – tính năng được ứng dụng rộng rãi trong App Router của Next.js.

Theo thông báo chính thức từ đội ngũ Next.js:

  • RSC cho phép dữ liệu đầu vào không đáng tin cậy ảnh hưởng trực tiếp đến logic xử lý server.
  • Kẻ tấn công có thể gửi những yêu cầu được chế tác đặc biệt để kích hoạt các nhánh thực thi không mong muốn.
  • Điều này có thể dẫn đến Remote Code Execution (RCE) — một trong những mức độ tấn công nguy hiểm nhất, cho phép hacker thực thi mã từ xa trên server.

Nói cách khác: hacker có thể chiếm quyền điều khiển server Next.js nếu bạn chưa cập nhật bản vá.

Những phiên bản bị ảnh hưởng

Ứng dụng dùng App Router và RSC sẽ bị ảnh hưởng nếu đang chạy:

  • Next.js 15.x
  • Next.js 16.x
  • Các bản canary từ 14.3.0-canary.77 trở lên

Không bị ảnh hưởng:

  • Next.js 13.x
  • Next.js 14.x stable
  • Pages Router
  • Edge Runtime

Các bản vá đã được phát hành

Next.js đã phản hồi rất nhanh và phát hành các bản sửa lỗi chính thức:

Stable đã được vá

  • 15.0.5
  • 15.1.9
  • 15.2.6
  • 15.3.6
  • 15.4.8
  • 15.5.7
  • 16.0.7

Canary đã được vá

  • 15.6.0-canary.58
  • 16.1.0-canary.12

Tất cả các bản này đều đã tích hợp RSC hardened với lớp bảo vệ bổ sung.

Hướng dẫn cập nhật

Bạn có thể cập nhật tự động bằng công cụ chính thức do đội ngũ Next.js cung cấp:

bash
npx fix-react2shell-next

Công cụ này sẽ kiểm tra phiên bản đang dùng và cập nhật đúng bản vá tương ứng.

Hoặc có thể cập nhật thủ công:

bash
npm install next@<phiên_bản_đã_vá>

Nếu đang dùng 14.3.0-canary.77 hoặc mới hơn, bạn cần quay lại bản stable 14.x:

bash
npm install next@14

Lưu ý quan trọng: Không có phương án tạm thời hay cấu hình workaround. Cập nhật phiên bản là cách duy nhất để đảm bảo an toàn.

Kết luận

Nếu bạn đang vận hành dự án dùng Next.js 15, 16, hoặc App Router với RSC:

Hãy cập nhật ngay lập tức. Hãy chia sẻ thông tin này cho team dev, DevOps và toàn bộ những ai đang triển khai Next.js.

Bảo mật là ưu tiên hàng đầu, đặc biệt với các hệ thống liên quan đến dữ liệu người dùng hoặc ứng dụng sản xuất thực tế.

Cảm ơn bạn ghé thăm

Có thể bạn sẽ thích