En kritisk sårbarhet (CVE-2025-66478) med CVSS 10.0 har upptäckts i React Server Components (RSC) protokollet, vilket möjliggör fjärrkörning av kod. Sårbarheten påverkar Next.js-applikationer som använder App Router i versionerna 15.x, 16.x samt vissa canary-utgåvor av 14.3.0 och senare. Lösningen är att omedelbart uppgradera till specifika patchade versioner av Next.js, såsom 15.0.5, 16.0.7 eller motsvarande canary-utgåvor. Användare av Next.js 14.3.0-canary.77 eller senare rekommenderas att nedgradera till den senaste stabila 14.x-versionen eller uppdatera till 15.6.0-canary.58 om de använder PPR. Sårbarheten upptäcktes av Lachlan Davidson och har sitt ursprung i en tidigare identifierad sårbarhet i React (CVE-2025-55182).