← 戻る
CVE-2026-33245
high
CVSS 8.0
React Router vulnerable to XSS in unstable RSC redirect handling via javascript: redirect targets
概要
React Router vulnerable to XSS in unstable RSC redirect handling via javascript: redirect targets
AI要約 openai / gpt-4o
React Routerのバージョン7.7.0から7.13.1には、React Server Components (RSC) APIを使用する際にクライアントサイドXSSの脆弱性があります。この脆弱性は信頼できないソースからのリダイレクト処理で発生しますが、RSC APIを使用していないアプリケーションには影響しません。バージョン7.13.2で修正されています。
❓ 何が問題か
React RouterにおけるクライアントサイドXSSの脆弱性。
📍 影響範囲
バージョン7.7.0から7.13.1のReact RouterのRSC API。
🔥 重要度
信頼できないソースからのリダイレクトにより、クライアントサイドでXSS攻撃が可能。
🔧 修正方法
React Routerをバージョン7.13.2にアップデートしてください。
🛡️ 暫定回避
RSC APIを使用しないか、信頼できるソースからのリダイレクトのみを許可する。
🔍 検知方法
アプリケーションがRSC APIを使用しているか確認し、リダイレクト元のソースをチェックする。
影響パッケージ
npm
react-router
[{"type":"SEMVER","events":[{"introduced":"7.7.0"},{"fixed":"7.13.2"}]}]