← Back
CVE-2026-33245
high
CVSS 8.0
React Router vulnerable to XSS in unstable RSC redirect handling via javascript: redirect targets
Summary
React Router vulnerable to XSS in unstable RSC redirect handling via javascript: redirect targets
AI summary openai / gpt-4o
React Routerのバージョン7.7.0から7.13.1には、React Server Components (RSC) APIを使用する際にクライアントサイドXSSの脆弱性があります。この脆弱性は信頼できないソースからのリダイレクト処理で発生しますが、RSC APIを使用していないアプリケーションには影響しません。バージョン7.13.2で修正されています。
❓ What is the problem
React RouterにおけるクライアントサイドXSSの脆弱性。
📍 Affected scope
バージョン7.7.0から7.13.1のReact RouterのRSC API。
🔥 Severity
信頼できないソースからのリダイレクトにより、クライアントサイドでXSS攻撃が可能。
🔧 How to fix
React Routerをバージョン7.13.2にアップデートしてください。
🛡️ Workaround
RSC APIを使用しないか、信頼できるソースからのリダイレクトのみを許可する。
🔍 Detection
アプリケーションがRSC APIを使用しているか確認し、リダイレクト元のソースをチェックする。
Affected packages
npm
react-router
[{"type":"SEMVER","events":[{"introduced":"7.7.0"},{"fixed":"7.13.2"}]}]