プラットフォーム
nodejs
コンポーネント
react-router
修正版
2.17.4
7.0.1
7.12.0
React Router (または Remix v2) に、サーバーサイドのルートactionハンドラをFramework Modeで使用している場合、または新しい不安定なRSCモードでReact Server Actionsを使用している場合に、CSRF (クロスサイトリクエストフォージェリ) 攻撃を受ける脆弱性です。この脆弱性は、UIルートへのPOSTリクエストにおいて悪用される可能性があります。影響を受けるバージョンは、7.12.0より前のバージョンです。バージョン7.12.0にアップデートすることで修正されます。
この脆弱性は、攻撃者が認証されたユーザーになりすまして、ユーザーの意図しないアクションを実行することを可能にします。例えば、攻撃者は、ユーザーが知らないうちに機密情報を変更したり、不正なトランザクションを実行したりする可能性があります。Framework Modeを使用しているアプリケーションは、特にこの脆弱性に対して脆弱です。React Server Actionsを使用しているアプリケーションも影響を受ける可能性があります。この脆弱性は、ユーザーの認証情報を盗むために使用される可能性があります。また、攻撃者は、この脆弱性を利用して、アプリケーションの管理権限を取得する可能性があります。
この脆弱性は、2026年1月8日に公開されました。現時点では、公開されているPoC (Proof of Concept) はありませんが、CSRF攻撃は一般的な攻撃手法であり、この脆弱性が悪用される可能性はあります。CISA KEVカタログへの登録状況は不明です。この脆弱性は、React Routerを使用しているすべてのアプリケーションにとってリスクとなります。
Applications built with React Router (or Remix v2) that utilize server-side route action handlers in Framework Mode, or React Server Actions in unstable RSC modes, are at risk. This includes applications that handle sensitive data or perform critical actions via POST requests. Developers using older versions of React Router and relying on Declarative or Data Mode are not directly affected.
• nodejs: Monitor application logs for unusual POST requests to UI routes, especially those originating from external sources.
grep -i 'POST /ui/route' access.log• nodejs: Check for any unauthorized modifications to data or user accounts that could be attributed to CSRF attacks.
# Review audit logs for suspicious activity
journalctl -u your-app -g 'CSRF attack'• generic web: Inspect response headers for unexpected redirects or changes in application state after a user visits a potentially malicious link. Use curl to test endpoints.
curl -v https://your-app.com/ui/routedisclosure
エクスプロイト状況
EPSS
0.02% (5% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への主な対策は、React Routerをバージョン7.12.0にアップデートすることです。アップデートできない場合は、CSRFトークンを導入することで、攻撃のリスクを軽減できます。CSRFトークンは、各リクエストに含めることで、リクエストが正当なものであることを確認できます。また、WAF (Web Application Firewall) を導入することで、悪意のあるリクエストをブロックできます。React Server Actionsを使用している場合は、アクションの実行を制限することで、攻撃のリスクを軽減できます。アップデート後、アプリケーションをテストし、CSRF攻撃に対する保護が有効になっていることを確認してください。
react-routerライブラリをバージョン7.12.0以降にアップデートしてください。これにより、Action/Server Actionリクエスト処理におけるCSRFの脆弱性が修正されます。`npm update react-router` または `yarn upgrade react-router` を実行して、安全なバージョンにアップデートしてください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-22030は、React Router (または Remix v2) におけるCSRF脆弱性です。Framework ModeまたはReact Server Actionsを使用している場合に、UIルートのPOSTリクエストで悪用される可能性があります。
React Routerのバージョン7.12.0より前のバージョンを使用している場合、この脆弱性に影響を受ける可能性があります。Framework ModeまたはReact Server Actionsを使用しているアプリケーションは特に注意が必要です。
React Routerをバージョン7.12.0にアップデートすることで修正できます。アップデートできない場合は、CSRFトークンを導入することでリスクを軽減できます。
現時点では、公開されているPoCはありませんが、CSRF攻撃は一般的な攻撃手法であり、悪用される可能性はあります。
React Routerの公式アドバイザリは、[https://reactrouter.com/start/modes](https://reactrouter.com/start/modes)で確認できます。