Next.js 高危 DoS 漏洞 (GHSA-q4gf-8mx6-v5v3, CVSS 7.5) 触发自动化安全补丁

一个影响广泛使用的 Next.js 框架的高危漏洞，已触发自动化安全响应机制，强制进行紧急修复。该漏洞被标记为 GHSA-q4gf-8mx6-v5v3，CVSS 评分为 7.5（高危），其核心风险在于服务器组件中的资源分配无限制问题（CWE-770），可导致远程拒绝服务攻击。攻击者无需任何权限或用户交互，即可通过网络利用此漏洞，造成服务高可用性中断。受影响的版本范围是从 16.0.0-beta.0 到 16.2.3 之前的所有版本。

此次修复由名为“Security_Engineer”的自动化代理执行，遵循既定的安全协议。根据 AGENTS.md 中的 `autonomous_critical_fix` 规则，任何 CVSS 评分 ≥ 7.0 的漏洞都会触发无需事先批准的自动修补流程。在检测到项目当前安装的 next 版本为 16.2.2 后，系统自动将 `package.json` 中的依赖版本升级至已修复的 16.2.3，并创建了拉取请求，同时通知了架构师。

这一事件凸显了在现代开发运维中，对高危漏洞的快速、自动化响应已成为关键防御层。虽然补丁已自动应用，但完整的验证流程仍在进行中，包括确保 CI 构建通过以及手动运行 `npm audit` 以确认无其他高危或严重漏洞。对于所有使用受影响版本 Next.js 的项目团队而言，立即验证并应用此补丁是当前的首要安全任务。