← Back
Web Application
CVE-2026-33245 high CVSS 8.0

React Router vulnerable to XSS in unstable RSC redirect handling via javascript: redirect targets

Summary

React Router vulnerable to XSS in unstable RSC redirect handling via javascript: redirect targets

AI summary openai / gpt-4o

React Routerのバージョン7.7.0から7.13.1には、React Server Components (RSC) APIを使用する際にクライアントサイドXSSの脆弱性があります。この脆弱性は信頼できないソースからのリダイレクト処理で発生しますが、RSC APIを使用していないアプリケーションには影響しません。バージョン7.13.2で修正されています。
❓ What is the problem
React RouterにおけるクライアントサイドXSSの脆弱性。
📍 Affected scope
バージョン7.7.0から7.13.1のReact RouterのRSC API。
🔥 Severity
信頼できないソースからのリダイレクトにより、クライアントサイドでXSS攻撃が可能。
🔧 How to fix
React Routerをバージョン7.13.2にアップデートしてください。
🛡️ Workaround
RSC APIを使用しないか、信頼できるソースからのリダイレクトのみを許可する。
🔍 Detection
アプリケーションがRSC APIを使用しているか確認し、リダイレクト元のソースをチェックする。

Affected packages

npm react-router
[{"type":"SEMVER","events":[{"introduced":"7.7.0"},{"fixed":"7.13.2"}]}]

References

🍪 About cookies

We use cookies to keep you logged in, remember your language, and improve the service.

Details →