Next.js Blog

Next.js Security Release and Our Next Patch Release

8.5内容质量

TL;DR · AI 摘要

Next.js正式推出每月定期安全补丁计划,7月将发布修复15.5/16.2版本的15个漏洞的补丁。

核心要点

  • Next.js将从2026年7月起每月发布一次安全补丁
  • 7月20日补丁将修复Next.js 15.5和16.2的4个高危及5个中危漏洞
  • 紧急漏洞仍会通过临时补丁快速响应

结构提纲

按章节快速跳转。

  1. Next.js宣布建立正式的每月安全补丁发布机制

  2. 过去采用临时补丁模式,新计划提供可预测的发布周期

  3. 每月提前公告补丁时间表及最高风险等级

  4. 首次定期补丁将于7月20日发布,修复15.5/16.2版本漏洞

  5. 包含4个高危和5个中危漏洞修复

思维导图

用一张图看清主题之间的关系。

查看大纲文本(无障碍 / 无 JS 友好)
  • Next.js安全发布计划
    • 定期发布
      • 每月一次
      • 提前公告
    • 7月补丁
      • 修复版本
      • 漏洞等级
    • 应急机制
      • 临时补丁
      • CVE披露

金句 / Highlights

值得收藏与分享的关键句。

#Next.js#安全#开源#补丁管理
打开原文

Next.js 安全版本发布与我们的下一次补丁版本发布 | Next.js

返回博客

2026年7月13日,星期一

Next.js 安全版本发布与我们的下一次补丁版本发布

作者:

Andrew Imm

@setimmediate

Josh Story

joshcstory

我们在 Next.js 的整个生命周期中每个阶段都投入了安全防护,从代码编写时的静态分析和扫描,到可审计的包发布,再到与负责任披露漏洞的研究人员进行紧密合作。去年12月披露的 React2Shell 攻击就是这一流程按预期运行的例证。自那时以来,我们继续完善了安全计划。作为该流程的一部分,今天我们将正式推出 Next.js 的安全版本发布计划。

行业内的漏洞研究数量正在迅速增长,这主要得益于基于大语言模型的发现工具:Mozilla 最近在一个 Firefox 版本中披露了 271 个问题,这些漏洞均由 AnthropicMythos Preview 工具发现。我们自身也使用同类工具对 Next.js 进行分析,包括通过 deepsec、我们自己的研究人员以及扩展的漏洞赏金计划,因此更多问题会在攻击者发现之前就到达我们手中。

可预测的发布计划

历史上,团队曾不定期发布安全补丁以修复问题。这些补丁发布频率较低,但缺乏提前通知,给用户带来了不便。今天,我们将转向正式的安全版本发布计划,团队可以围绕这些更新进行规划。这种提前公布、定期发布安全版本的方式已成为大型开源项目的标准实践,我们认为这对当前规模的 Next.js 来说是最合适的模式。

未来展望

以下是您未来可以期待的内容:大约每月一次,我们将在 Next.js 博客上提前发布即将进行的安全版本更新通知。每则公告将包含预期的发布时间表以及所涵盖漏洞中最高预期的严重程度。这种提前通知时间将帮助您规划升级,也让我们能够与托管提供商和其他平台合作伙伴协调,部署缓解措施(如防火墙规则),以保护尚未修补的应用程序。

对于无法等待的紧急披露,或已在野外被利用的漏洞,我们仍将发布不定期补丁。我们仍致力于尽快保障您的代码安全。这些不定期发布的相关信息也将在此博客上分享,就像我们对 React2Shell 及其他后续调查中发现的漏洞所做的那样。

七月即将发布的版本

我们的首次计划安全版本发布目标为 2026 年 7 月 20 日。该版本将包括 Next.js 16.2 和 15.5 的补丁版本,解决多个安全问题。其中包括 4 个高严重性漏洞和 5 个中严重性漏洞的修复。补丁发布后,我们将在此发布一篇包含更新细节的博客文章,包括任何相关 CVE 的详细信息。

我们的安全部门计划

我们与一群才华横溢的研究人员合作,通过 Vercel 的开源漏洞赏金计划保障 Next.js 及其他开源框架的安全。任何有兴趣为符合资格的框架安全做出贡献的人,都欢迎参与该计划。

有关我们的安全计划或漏洞管理的任何问题或疑虑,均可发送至 security@vercel.com。