Plateforme
nodejs
Composant
react-router
Corrigé dans
2.17.4
7.0.1
7.12.0
La vulnérabilité CVE-2026-22030 affecte react-router, une bibliothèque de routage populaire pour les applications React. Elle permet des attaques par Cross-Site Request Forgery (CSRF) sur les requêtes POST vers les routes de l'interface utilisateur, en particulier lorsqu'elles sont gérées par des handlers d'action côté serveur en mode Framework ou via React Server Actions. Cette vulnérabilité touche les versions antérieures à 7.12.0 et peut être atténuée en effectuant une mise à jour vers cette version.
Un attaquant peut exploiter cette vulnérabilité CSRF pour exécuter des actions non autorisées au nom d'un utilisateur authentifié. Par exemple, si une application utilise react-router avec des handlers d'action côté serveur et que l'utilisateur est connecté, un attaquant pourrait créer une page malveillante qui, lorsqu'elle est visitée par l'utilisateur, enverrait une requête POST à une route spécifique, modifiant potentiellement des données ou effectuant des actions sensibles sans le consentement de l'utilisateur. Le risque est accru dans les environnements où les actions côté serveur sont utilisées pour des opérations critiques telles que la modification de données utilisateur, le traitement de commandes ou la gestion de transactions financières. Cette vulnérabilité ne concerne pas les applications utilisant le mode déclaratif ou le mode données de React Router.
Cette vulnérabilité a été rendue publique le 8 janvier 2026. Il n'y a pas d'indications d'une exploitation active à ce jour. Aucun PoC public n'a été largement diffusé, mais la nature de la vulnérabilité CSRF la rend potentiellement exploitable. La probabilité d'exploitation est considérée comme moyenne, en raison de la nécessité d'une configuration spécifique de l'application (mode Framework ou React Server Actions) et de la relative complexité de la création d'une attaque CSRF réussie.
Applications built with React Router (or Remix v2) that utilize server-side route action handlers in Framework Mode, or React Server Actions in unstable RSC modes, are at risk. This includes applications that handle sensitive data or perform critical actions via POST requests. Developers using older versions of React Router and relying on Declarative or Data Mode are not directly affected.
• nodejs: Monitor application logs for unusual POST requests to UI routes, especially those originating from external sources.
grep -i 'POST /ui/route' access.log• nodejs: Check for any unauthorized modifications to data or user accounts that could be attributed to CSRF attacks.
# Review audit logs for suspicious activity
journalctl -u your-app -g 'CSRF attack'• generic web: Inspect response headers for unexpected redirects or changes in application state after a user visits a potentially malicious link. Use curl to test endpoints.
curl -v https://your-app.com/ui/routedisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 5%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour react-router vers la version 7.12.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. L'implémentation de protections CSRF standard, telles que les jetons CSRF, peut aider à atténuer le risque. Il est également recommandé de valider les entrées utilisateur et de limiter les privilèges des utilisateurs pour minimiser l'impact potentiel d'une attaque réussie. Après la mise à jour, vérifiez le bon fonctionnement de l'application en effectuant des tests de routage et en vous assurant que les actions côté serveur sont correctement protégées contre les attaques CSRF.
Mettez à jour la bibliothèque react-router à la version 7.12.0 ou supérieure. Cela corrige la vulnérabilité CSRF dans le traitement des requêtes Action/Server Action. Exécutez `npm update react-router` ou `yarn upgrade react-router` pour mettre à jour vers la version sécurisée.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-22030 est une vulnérabilité CSRF dans react-router affectant les versions antérieures à 7.12.0, permettant des attaques sur les requêtes POST.
Vous êtes affecté si vous utilisez react-router en mode Framework ou avec React Server Actions et que vous avez une version inférieure à 7.12.0.
Mettez à jour react-router vers la version 7.12.0 ou supérieure. Implémentez des protections CSRF si la mise à jour n'est pas possible immédiatement.
À ce jour, il n'y a pas d'indications d'une exploitation active, mais la vulnérabilité est potentiellement exploitable.
Consultez le site web officiel de react-router ou le dépôt GitHub pour obtenir les dernières informations et les conseils de sécurité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.