https://blog.qife122.com/tags/react-router/ Recent content in React Router on 办公AI智能小助手 Hugo zh-cn qife Mon, 12 Jan 2026 11:51:59 +0800 https://blog.qife122.com/p/react-router%E6%A1%86%E6%9E%B6%E6%A8%A1%E5%BC%8F%E4%B8%AD%E9%AB%98%E5%8D%B1xss%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E4%B8%8E%E5%BA%94%E5%AF%B9%E6%8C%87%E5%8D%97/ Mon, 12 Jan 2026 11:51:59 +0800 https://blog.qife122.com/p/react-router%E6%A1%86%E6%9E%B6%E6%A8%A1%E5%BC%8F%E4%B8%AD%E9%AB%98%E5%8D%B1xss%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%E4%B8%8E%E5%BA%94%E5%AF%B9%E6%8C%87%E5%8D%97/ <h1 id="cve-2025-59057-cwe-79-react-router框架模式下输入净化不当导致的跨站脚本漏洞">CVE-2025-59057: CWE-79: React Router框架模式下输入净化不当导致的跨站脚本漏洞</h1> <p><strong>严重性：高</strong> <strong>类型：漏洞</strong> <strong>CVE：CVE-2025-59057</strong></p> <p>React Router 是 React 的一个路由库。在 @remix-run/react 版本 1.15.0 至 2.17.0 以及 react-router 版本 7.0.0 至 7.8.2 中，当 React Router 在框架模式下使用 <code>meta()</code>/<code>&lt;Meta&gt;</code> API 生成 <code>script:ld+json</code> 标签时存在一个 XSS 漏洞。如果使用不受信任的内容来生成此标签，可能导致在服务器端渲染期间执行任意 JavaScript。如果应用程序使用声明式模式（<code>&lt;BrowserRouter&gt;</code>）或数据模式（<code>createBrowserRouter</code>/<code>&lt;RouterProvider&gt;</code>），则不受此漏洞影响。此问题已在 @remix-run/react 版本 2.17.1 和 react-router 版本 7.9.0 中得到修复。</p> https://blog.qife122.com/p/react-router%E6%96%87%E4%BB%B6%E4%BC%9A%E8%AF%9D%E5%AD%98%E5%82%A8%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%88%86%E6%9E%90/ Mon, 12 Jan 2026 09:36:35 +0800 https://blog.qife122.com/p/react-router%E6%96%87%E4%BB%B6%E4%BC%9A%E8%AF%9D%E5%AD%98%E5%82%A8%E8%B7%AF%E5%BE%84%E9%81%8D%E5%8E%86%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E5%88%86%E6%9E%90/ <h2 id="概述">概述</h2> <p>CVE-2025-61686是一个在React Router和Remix框架中发现的路径遍历漏洞，CVSS评分为9.1（严重级别）。该漏洞存在于使用<code>createFileSessionStorage()</code>函数且配置了未签名Cookie的场景中，允许攻击者尝试读写会话文件目录之外的文件位置。</p> https://blog.qife122.com/p/react-router%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9Ecve-2026-22029%E8%AF%A6%E8%A7%A3%E5%BC%80%E6%94%BE%E9%87%8D%E5%AE%9A%E5%90%91%E5%BC%95%E5%8F%91%E7%9A%84xss%E6%94%BB%E5%87%BB/ Sun, 11 Jan 2026 21:41:21 +0800 https://blog.qife122.com/p/react-router%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9Ecve-2026-22029%E8%AF%A6%E8%A7%A3%E5%BC%80%E6%94%BE%E9%87%8D%E5%AE%9A%E5%90%91%E5%BC%95%E5%8F%91%E7%9A%84xss%E6%94%BB%E5%87%BB/ <h1 id="cve-2026-22029---react-router因开放重定向而存在xss漏洞">CVE-2026-22029 - React Router因开放重定向而存在XSS漏洞</h1> <p><strong>概述</strong></p> <p><strong>公开漏洞利用</strong></p> <p><strong>漏洞时间线</strong></p> <p><strong>描述</strong></p> <p>React Router 是 React 的一个路由库。在 @remix-run/router 版本 1.23.2 之前以及 react-router 版本 7.0.0 至 7.11.0 中，React Router（以及 Remix v1/v2）在框架模式、数据模式或不稳定的 RSC 模式下，源自加载器或操作的 SPA 开放导航重定向可能导致不安全的 URL，从而在客户端引起意外的 JavaScript 执行。仅当您从未受信任的内容创建重定向路径或通过开放重定向时，才会出现此问题。如果使用声明式模式（<code>&lt;BrowserRouter&gt;</code>），则不会产生影响。此问题已在 @remix-run/router 版本 1.23.2 和 react-router 版本 7.12.0 中修复。</p>