Next.js 披露 CVE-2025-59471 与 CVE-2025-59472：特定配置下可触发内存耗尽致崩溃

2 分钟阅读

2026 年 1 月 26 日

在自托管 Next.js 应用中发现了两项中危拒绝服务漏洞。在特定配置下，这两个问题都可能通过内存耗尽导致服务器崩溃。它们不会造成数据泄露，也不涉及权限提升。

托管在 Vercel 平台上的应用不受这些问题影响，客户无需采取任何操作。

Link to heading概述

CVE-2025-59471（CVSS 5.9）影响 Image Optimizer：当通过 remotePatterns 启用外部图片优化时，/_next/image 端点会将远程图片完整加载到内存中，且未强制最大大小限制。攻击者可在允许域名上放置超大图片，从而触发 out-of-memory 条件。

CVE-2025-59472（CVSS 5.9）影响启用了 Partial Pre-Rendering（PPR）且运行在 minimal mode 的应用。PPR resume 端点可接收未认证的 POST 请求，并处理由攻击者控制的数据，可能因无界请求缓冲或解压而导致内存耗尽。

Link to heading受影响版本

CVE-2025-59471

• Next.js 版本 >=10 且 <15.5.10

• Next.js 版本 >=16 且 <16.1.5

CVE-2025-59472

• Next.js 版本 >=15 且 <15.6.0-canary.61

• Next.js 版本 >=16 且 <16.1.5

Link to heading影响

这两个漏洞都可能导致 Node.js 进程因内存耗尽而终止，进而造成应用不可用。

CVE-2025-59471 的利用前提是启用外部图片优化，且攻击者能够控制允许域名上的大图片资源。

CVE-2025-59472 仅影响满足以下条件的应用：配置了 experimental.ppr: true 或 cacheComponents: true，并且环境变量设置为 NEXT_PRIVATE_MINIMAL_MODE=1。

Link to heading修复方案

已修复于：

• 15.5.10

• 15.6.0-canary.61

• 16.1.5

• 16.2.0-canary.9

临时缓解措施：

对于暂时无法立即升级的自托管部署：

• 限制或移除不受信任的 remotePatterns

• 禁用 Partial Pre-Rendering 或 minimal mode

• 在反向代理层实施严格的请求大小限制

Link to heading致谢

感谢 Andrew MacPherson 通过我们的漏洞赏金计划进行负责任披露。

Link to heading参考资料