Plataforma
nodejs
Componente
react-router
Corrigido em
2.17.4
7.0.1
7.12.0
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta no react-router, e também no Remix v2, em aplicações React que utilizam o modo Framework ou React Server Actions. Essa falha permite que um atacante execute ações não autorizadas em nome de um usuário autenticado, explorando a confiança do servidor na requisição. As versões afetadas são aquelas anteriores à 7.12.0. A correção já foi disponibilizada.
A vulnerabilidade CSRF em react-router permite que um atacante inicie requisições maliciosas para o servidor, aproveitando a sessão ativa de um usuário. Em cenários de Framework Mode ou React Server Actions, um atacante pode, por exemplo, modificar dados, realizar transações ou alterar configurações, tudo isso sem o conhecimento ou consentimento do usuário. O impacto pode ser significativo, especialmente em aplicações que lidam com informações sensíveis ou operações críticas. A exploração bem-sucedida pode levar à perda de dados, comprometimento da integridade do sistema e até mesmo à tomada de controle da aplicação.
Esta vulnerabilidade foi divulgada em 08 de janeiro de 2026. Não há relatos públicos de exploração ativa no momento. A pontuação de probabilidade de exploração (EPSS) ainda não foi determinada. A vulnerabilidade é considerada de severidade média (CVSS 6.5). Não está listada no KEV da CISA.
Applications built with React Router (or Remix v2) that utilize server-side route action handlers in Framework Mode, or React Server Actions in unstable RSC modes, are at risk. This includes applications that handle sensitive data or perform critical actions via POST requests. Developers using older versions of React Router and relying on Declarative or Data Mode are not directly affected.
• nodejs: Monitor application logs for unusual POST requests to UI routes, especially those originating from external sources.
grep -i 'POST /ui/route' access.log• nodejs: Check for any unauthorized modifications to data or user accounts that could be attributed to CSRF attacks.
# Review audit logs for suspicious activity
journalctl -u your-app -g 'CSRF attack'• generic web: Inspect response headers for unexpected redirects or changes in application state after a user visits a potentially malicious link. Use curl to test endpoints.
curl -v https://your-app.com/ui/routedisclosure
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o react-router para a versão 7.12.0 ou superior. Se a atualização imediata não for possível devido a incompatibilidades, considere implementar medidas de proteção CSRF adicionais, como tokens CSRF em todas as requisições POST. Utilize bibliotecas de proteção CSRF existentes para gerar e validar tokens. Além disso, revise a lógica de autenticação e autorização da aplicação para garantir que as ações críticas sejam protegidas contra manipulação externa. Após a atualização, confirme a correção verificando se as requisições POST exigem tokens CSRF válidos.
Atualize a biblioteca react-router para a versão 7.12.0 ou superior. Isso corrige a vulnerabilidade CSRF no processamento de solicitações Action/Server Action. Execute `npm update react-router` ou `yarn upgrade react-router` para atualizar para a versão segura.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade de Cross-Site Request Forgery (CSRF) que afeta aplicações React utilizando react-router em modo Framework ou React Server Actions, permitindo que atacantes executem ações não autorizadas.
Sim, se sua aplicação usa react-router (ou Remix v2) em modo Framework ou React Server Actions e está rodando uma versão anterior a 7.12.0, você está vulnerável.
Atualize o react-router para a versão 7.12.0 ou superior. Se a atualização não for possível, implemente medidas de proteção CSRF adicionais, como tokens CSRF.
Até o momento, não há relatos públicos de exploração ativa, mas a vulnerabilidade é considerada de severidade média e deve ser corrigida.
Consulte o repositório oficial do react-router no GitHub para obter informações detalhadas e o advisory de segurança: [https://github.com/reactrouter/react-router](https://github.com/reactrouter/react-router)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.