← 戻る
Webアプリケーション
CVE-2026-42211 high CVSS 8.1

React Router's vendored turbo-stream v2 allows arbitrary constructor invocation via TYPE_ERROR deserialization leading to Unauth RCE

概要

React Router's vendored turbo-stream v2 allows arbitrary constructor invocation via TYPE_ERROR deserialization leading to Unauth RCE

AI要約 openai / gpt-4o

ReactのルーティングライブラリであるReact Routerに脆弱性が発見されました。バージョン7.0.0から7.14.1のFramework Modeで、プロトタイプ汚染を利用して不正なリモートコード実行が可能です。許可されていないコードがサーバー上で実行される危険がありますが、Declarative ModeやData Modeを使用しているアプリケーションには影響を与えません。この問題はバージョン7.14.2で修正されています。
❓ 何が問題か
React RouterのFramework Modeで、プロトタイプ汚染を利用した不正なリモートコード実行が可能になります。
📍 影響範囲
React Router バージョン7.0.0から7.14.1のFramework Mode
🔥 重要度
不正なリモートコード実行が可能で、高い危険性を持ちます。CVSSスコアは8.1です。
🔧 修正方法
React Routerをバージョン7.14.2にアップデートする。
🛡️ 暫定回避
Declarative ModeまたはData Modeを使用することで回避可能です。
🔍 検知方法
自身のアプリケーションでFramework Modeを利用しているかを確認し、プロトタイプ汚染の影響を調査する。

影響パッケージ

npm react-router
[{"type":"SEMVER","events":[{"introduced":"7.0.0"},{"fixed":"7.14.2"}]}]

参照URL

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →