一篇最近发表在BlockHacks.io上的文章警告称，现代Next.js应用程序可能在典型的安全措施（如日志记录和身份验证）应用*之前*就容易受到远程代码执行（RCE）攻击。核心问题在于Next.js处理反序列化、水合和服务器操作的方式，允许攻击者控制的输入在流程的早期执行。 作者强调，看似无害的500内部服务器错误实际上可能表明攻击者已成功绘制出应用程序的执行流程并优化恶意载荷。传统的安全工具，如Web应用程序防火墙（WAF）和应用程序日志，通常会错过这些早期阶段的攻击。 关键的攻击面包括Next.js中间件、React服务器组件（RSCs）和服务器操作。该文章寻求来自其他观察到类似生产环境行为的人的反馈，评论者指出文章风格令人困惑，并质疑BlockHacks宣传的“区块链安全审计”与此Web应用程序漏洞的相关性。