React Router में Action/Server Action अनुरोध प्रसंस्करण में CSRF समस्या है

यह CSRF भेद्यता हमलावरों को उन क्रियाओं को करने की अनुमति दे सकती है जिन्हें वे सामान्य रूप से करने के लिए अधिकृत नहीं होंगे। उदाहरण के लिए, वे उपयोगकर्ता के खाते में बदलाव कर सकते हैं, संवेदनशील डेटा तक पहुंच सकते हैं, या अन्य दुर्भावनापूर्ण कार्य कर सकते हैं। फ्रेमवर्क मोड या रिएक्ट सर्वर एक्शन का उपयोग करने वाले एप्लिकेशन विशेष रूप से जोखिम में हैं, क्योंकि वे CSRF हमलों के लिए अधिक संवेदनशील होते हैं। हमलावर एक दुर्भावनापूर्ण वेबसाइट या ईमेल के माध्यम से CSRF हमले शुरू कर सकते हैं, जो उपयोगकर्ता को अनजाने में अनधिकृत क्रियाएं करने के लिए प्रेरित करता है। इस भेद्यता का उपयोग डेटा उल्लंघनों, वित्तीय नुकसान और प्रतिष्ठा क्षति का कारण बन सकता है।

Applications built with React Router (or Remix v2) that utilize server-side route action handlers in Framework Mode, or React Server Actions in unstable RSC modes, are at risk. This includes applications that handle sensitive data or perform critical actions via POST requests. Developers using older versions of React Router and relying on Declarative or Data Mode are not directly affected.

• nodejs: Monitor application logs for unusual POST requests to UI routes, especially those originating from external sources.

grep -i 'POST /ui/route' access.log

• nodejs: Check for any unauthorized modifications to data or user accounts that could be attributed to CSRF attacks.

# Review audit logs for suspicious activity
journalctl -u your-app -g 'CSRF attack'

• generic web: Inspect response headers for unexpected redirects or changes in application state after a user visits a potentially malicious link. Use curl to test endpoints.

curl -v https://your-app.com/ui/route

1. 2026-01-08Disclosure

   disclosure

1. आरक्षित2026-01-05
2. प्रकाशित2026-01-08
3. संशोधित2026-02-03
4. EPSS अद्यतन2026-03-23

CVE-2026-22030 को कम करने के लिए, 7.12.0 या बाद के संस्करण में react-router को अपडेट करना सबसे प्रभावी तरीका है। यदि अपडेट करना संभव नहीं है, तो आप कुछ शमन तकनीकों का उपयोग कर सकते हैं, जैसे कि CSRF टोकन लागू करना या सर्वर-साइड सत्यापन जोड़ना। CSRF टोकन एक गुप्त मान है जो प्रत्येक अनुरोध के साथ भेजा जाता है, और यह सुनिश्चित करने के लिए उपयोग किया जाता है कि अनुरोध उपयोगकर्ता द्वारा किया गया था। सर्वर-साइड सत्यापन यह सुनिश्चित करने के लिए उपयोग किया जाता है कि अनुरोध वैध है और उपयोगकर्ता के पास कार्रवाई करने की अनुमति है। इन तकनीकों को लागू करके, आप CSRF हमलों के जोखिम को कम कर सकते हैं।

अंतिम अपडेट

7.13.12 महीने पहले