编译 | Tina、冬梅上周刚追完 10 级补丁，以为能喘口气了？还不行。12 月 12 日，React 官方确认，研究人员在验证上周补丁时，竟又在 React Server ...

Next.js 16 引入了多项新特性，包括需要显式开启的 Cache Components、通过 Model Context Protocol 集成的 AI 辅助调试能力，以及作为默认构建工具正式转正的 Turbopack。此外，新版本还对路由系统进行了增强，加入了布局去重（layout deduplication）和增量式预取（incremental ...

Next.js 发布了一款名为 fix-react2shell-next 的专用命令行工具，帮助开发者快速检测并修复高危"React2Shell"漏洞（CVE-2025-66478）。这款新型扫描器提供单行命令解决方案，可识别存在漏洞的 ...

在科技的快速发展中，安全问题始终是开发者们无法忽视的隐患。今天凌晨，React团队发布了一则紧急通知，警告用户一个最高危漏洞（CVE-2025-55182）的出现，CVSS评分高达10.0分，标志着这一漏洞的危险程度相当于黑客能轻易在服务器上执行任意代码，简直是开发者的噩梦！

React团队于12月3日发布了有史以来最严重的安全漏洞公告（CVE-2025-55182），该漏洞被评为CVSS 10.0分——最高风险等级。 这一被称为“React2shell”的漏洞，堪比一把开启服务器大门的“万能钥匙”，攻击者无需任何身份验证，仅需发送一个精心构造的HTTP请求，便可直接控制企业服务器。 安全研究员Defused指出，这是一个评分10.0的严重漏洞，并且已有野外利用的报告。

PANews 12月15日消息，据Finance Feeds报道，黑客利用了React ...

一年两个高危CVE，React/Next.js的问题不是SSR，是前端被逼着干后端的活 CVE年年有，今年特别多，这不稀奇。什么时候开始一个”前端框架”的漏洞，能造成这么大的攻击面了？ 2015年的React就是个View层的库，Virtual DOM diff一下完事儿。现在你点开Next.js的文档看看，Server Components、Server ...

11月29日， Lachlan Davidson 报告了React Server Components（RSC）中一个未经身份验证的远程代码执行（RCE）漏洞。该漏洞于12月3日公开披露，并被追踪为 CVE-2025-55182 ...