Resumo: Uma vulnerabilidade crítica (CVE-2025-66478), derivada de um problema em React Server Components (CVE-2025-55182), permite execução remota de código em aplicações Next.js 15.x e 16.x que utilizam o App Router, exigindo atualização imediata para versões corrigidas.
Entendendo a vulnerabilidade no Next.js
A falha mais recente envolvendo Next.js está ligada ao protocolo do React Server Components e afeta diretamente aplicações que utilizam o App Router nas versões 15.x e 16.x. Identificada como CVE-2025-66478 no ecossistema do Next.js, ela é considerada uma vulnerabilidade de gravidade máxima, com pontuação CVSS 10.0.
Na origem, o problema está catalogado como CVE-2025-55182 no React, impactando o Next.js de forma downstream. Isso significa que a forma como o Next.js integra e utiliza o React Server Components tornou suas aplicações vulneráveis a exploração remota.
Risco de execução remota de código (RCE)
Essa vulnerabilidade permite que atacantes enviem requisições malformadas capazes de influenciar o comportamento do servidor, resultando em execução remota de comandos indesejados. Em cenários reais, isso pode levar ao comprometimento completo da aplicação e, potencialmente, da infraestrutura associada.
Exploits públicos começaram a surgir logo após a divulgação do problema, o que aumenta significativamente o risco, especialmente para aplicações em produção que ainda não foram corrigidas.
Versões afetadas e impacto nas implantações
De forma geral, são afetadas aplicações que:
- Utilizam Next.js nas linhas 15.x ou 16.x;
- Fazem uso do App Router integrado ao React Server Components;
- Ainda não foram atualizadas para as versões patch mais recentes.
A Vercel, principal mantenedora do Next.js e plataforma de hospedagem amplamente usada pela comunidade, adotou medidas de contenção. Novas implantações com versões vulneráveis do Next.js estão bloqueadas por padrão na plataforma, o que ajuda a proteger projetos que ainda não foram atualizados manualmente.
Medidas de mitigação e atualização recomendadas
Diante da criticidade e da exploração ativa, é essencial que equipes de desenvolvimento ajam rapidamente. As principais recomendações incluem:
- Atualizar o Next.js para as últimas versões patch de cada linha suportada, como por exemplo:
- Atualizar para a versão 15.5.7 (ou superior) se estiver na linha 15.x;
- Atualizar para a versão 16.0.7 (ou superior) se estiver na linha 16.x.
- Rever o uso de versões canary: quem estiver utilizando versões canary recentes, como 14.3.0-canary.77 ou posteriores, deve realizar downgrade para a última release estável da linha 14.x, até que correções completas estejam disponíveis.
- Verificar políticas na Vercel: na Vercel, a implantação de versões vulneráveis está bloqueada por padrão. Exceções só são possíveis mediante configuração explícita via variável de ambiente, algo que só deve ser feito em casos muito específicos, cientes do risco envolvido.
Boas práticas de segurança para projetos com Next.js e React
O incidente reforça a importância de manter dependências críticas — como frameworks, runtimes e bibliotecas de servidor — sempre atualizadas. Em especial para projetos que utilizam React Server Components e Next.js, recomenda-se:
- Monitorar constantemente avisos de segurança oficiais do React, Next.js e Vercel;
- Automatizar a verificação de vulnerabilidades em pipelines de CI/CD;
- Evitar uso prolongado de versões canary em produção;
- Manter um processo claro de atualização e rollback para lidar com incidentes de segurança;
- Realizar revisões periódicas de configuração de servidores e plataformas de hospedagem.
Como a falha possui pontuação máxima no CVSS e já conta com exploits públicos, a atualização imediata das aplicações afetadas deixa de ser uma recomendação opcional e passa a ser uma necessidade urgente para garantir a segurança de usuários e dados.
Fonte: Perplexity AI
