← Back
CVE-2026-42211
high
CVSS 8.1
React Router's vendored turbo-stream v2 allows arbitrary constructor invocation via TYPE_ERROR deserialization leading to Unauth RCE
Summary
React Router's vendored turbo-stream v2 allows arbitrary constructor invocation via TYPE_ERROR deserialization leading to Unauth RCE
AI summary openai / gpt-4o
ReactのルーティングライブラリであるReact Routerに脆弱性が発見されました。バージョン7.0.0から7.14.1のFramework Modeで、プロトタイプ汚染を利用して不正なリモートコード実行が可能です。許可されていないコードがサーバー上で実行される危険がありますが、Declarative ModeやData Modeを使用しているアプリケーションには影響を与えません。この問題はバージョン7.14.2で修正されています。
❓ What is the problem
React RouterのFramework Modeで、プロトタイプ汚染を利用した不正なリモートコード実行が可能になります。
📍 Affected scope
React Router バージョン7.0.0から7.14.1のFramework Mode
🔥 Severity
不正なリモートコード実行が可能で、高い危険性を持ちます。CVSSスコアは8.1です。
🔧 How to fix
React Routerをバージョン7.14.2にアップデートする。
🛡️ Workaround
Declarative ModeまたはData Modeを使用することで回避可能です。
🔍 Detection
自身のアプリケーションでFramework Modeを利用しているかを確認し、プロトタイプ汚染の影響を調査する。
Affected packages
npm
react-router
[{"type":"SEMVER","events":[{"introduced":"7.0.0"},{"fixed":"7.14.2"}]}]