Plataforma
react
Componente
@react-router/node
Corregido en
7.0.1
2.17.3
2.17.3
La vulnerabilidad CVE-2025-61686 es una falla de Path Traversal que afecta a React Router Node, específicamente a las versiones 7.0.0 hasta la 7.9.3, y a @remix-run/deno antes de la versión 2.17.2. Si se utiliza la función createFileSessionStorage() sin una cookie firmada, un atacante podría manipular la sesión para leer o escribir archivos fuera del directorio de sesiones designado. La corrección se encuentra disponible en la versión 7.9.4.
Esta vulnerabilidad permite a un atacante, con los permisos adecuados del proceso del servidor web, acceder a archivos sensibles ubicados fuera del directorio de sesiones previsto. Un atacante podría leer información confidencial, como claves de API, contraseñas o datos de usuario, o incluso modificar archivos del sistema, comprometiendo la integridad y la confidencialidad del servidor. El impacto potencial es significativo, especialmente en entornos donde las sesiones se utilizan para almacenar información crítica. La capacidad de leer archivos fuera del directorio de sesiones abre la puerta a la exfiltración de datos y a la posible ejecución de código malicioso, dependiendo de los permisos del usuario del servidor web.
La vulnerabilidad CVE-2025-61686 ha sido publicada el 2026-01-10. No se ha confirmado la explotación activa en la naturaleza, pero la severidad CRÍTICA (CVSS 9.1) indica un alto riesgo. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa. La falta de un PoC público no disminuye la necesidad de aplicar las mitigaciones recomendadas.
Applications utilizing React Router Node for session management, particularly those relying on unsigned cookies for session identification, are at significant risk. Shared hosting environments where multiple applications share the same server and file system are especially vulnerable, as an attacker exploiting one application could potentially gain access to files belonging to others.
• react / node: Monitor application logs for attempts to access files outside the expected session storage directory. Look for unusual file paths containing .. sequences.
grep '..\/' /var/log/nginx/error.log• react / node: Use a security scanner to identify instances of createFileSessionStorage() with unsigned cookies.
• react / node: Review application code for any custom file path manipulation logic that might be vulnerable to path traversal.
• react / node: Check for unusual file modifications within the session storage directory using file integrity monitoring tools.
disclosure
Estado del Exploit
EPSS
0.03% (8% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 7.9.4 de React Router Node o a la versión 2.17.2 o superior de @remix-run/deno. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso estrictos al directorio de sesiones, restringiendo los permisos del usuario del servidor web para evitar el acceso a archivos fuera del directorio esperado. Además, se debe asegurar que las cookies de sesión estén firmadas para evitar la manipulación de la ruta del archivo. Como medida temporal, se puede considerar la implementación de reglas en un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que intenten acceder a archivos fuera del directorio de sesiones.
Actualice el paquete @react-router/node a la versión 7.9.4 o superior. Esto corrige la vulnerabilidad de path traversal en el almacenamiento de sesiones de archivos. La actualización previene que un atacante acceda a archivos fuera del directorio de sesiones especificado.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-61686 is a critical vulnerability in React Router Node allowing attackers to potentially access files outside the intended session storage directory through path traversal.
You are affected if you are using React Router Node versions 7.0.0–@remix-run/node < 2.17.2. Upgrade to 7.9.4 to mitigate the risk.
Upgrade React Router Node to version 7.9.4 or later. If immediate upgrade is not possible, implement stricter file permission controls and input validation.
As of the publication date, there are no confirmed reports of active exploitation, but the CRITICAL severity warrants immediate attention and remediation.
Refer to the official React Router documentation and security advisories for the latest information and updates regarding CVE-2025-61686.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.