CVE-2026-21884 - React Router SSR XSS in ScrollRestoration

概述

漏洞时间线

描述

React Router是React的一个路由库。在@remix-run/react 2.17.3之前版本以及react-router 7.0.0至7.11.0版本中，当在框架模式（Framework Mode）下进行服务器端渲染（SSR）并使用<ScrollRestoration> API的getKey/storageKey属性时，存在一个跨站脚本（XSS）漏洞。如果使用不受信任的内容来生成这些键（keys），可能导致在SSR过程中执行任意JavaScript代码。

注意：如果禁用框架模式下的服务器端渲染，或者正在使用声明式模式（<BrowserRouter>）或数据模式（createBrowserRouter/<RouterProvider>），则此漏洞没有影响。

此问题已在@remix-run/react 2.17.3版本和react-router 7.12.0版本中修复。

信息

发布日期：2026年1月10日 凌晨3:15 最后修改日期：2026年1月10日 凌晨3:15 可远程利用：是！ 来源：security-advisories@github.com

受影响的产品

以下产品受到CVE-2026-21884漏洞的影响。即使cvefeed.io知晓受影响产品的确切版本，以下表格中并未展示该信息。

（无受影响产品记录）

总计受影响供应商：0 | 产品：0

CVSS 分数

通用漏洞评分系统（CVSS）是一个用于评估软件和系统中漏洞严重程度的标准化框架。我们收集并展示每个CVE来自不同来源的CVSS分数。

解决方案

更新React Router和@remix-run/react到已修复的版本以解决XSS问题。

• 将@remix-run/react更新至2.17.3或更高版本。
• 将react-router更新至7.12.0或更高版本。
• 确保SSR框架模式配置安全。
• 避免为SSR键使用不受信任的内容。

公告、解决方案和工具参考

此处，您将找到与CVE-2026-21884相关的、提供深入信息、实用解决方案和有价值工具的外部链接精选列表。

CWE - 通用缺陷枚举

CVE标识特定的漏洞实例，而CWE则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2026-21884与以下CWE相关联：

CWE-79: 网页生成期间输入中和不当（‘跨站脚本’）

常见攻击模式枚举与分类 (CAPEC)

常见攻击模式枚举与分类 (CAPEC) 存储了攻击模式，这些模式描述了攻击者利用CVE-2026-21884弱点所采用的共同属性和方法。

• CAPEC-63: 跨站脚本 (XSS)
• CAPEC-85: AJAX足迹识别
• CAPEC-209: 利用MIME类型不匹配的XSS
• CAPEC-588: 基于DOM的XSS
• CAPEC-591: 反射型XSS
• CAPEC-592: 存储型XSS

漏洞历史记录

以下表格列出了CVE-2026-21884漏洞随时间发生的变化。漏洞历史记录详细信息有助于理解漏洞的演变，并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。

新CVE接收：由 security-advisories@github.com 于 2026年1月10日

漏洞评分详情

CVSS 3.1

基础CVSS分数：8.2