CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-33244

MediumCVSS 5.4
Published: Updated: Translated: NVD NIST

Summary

React Router w wersjach od 7.5.1 do 7.13.1 ma lukę, która pozwala na Cross-Site Scripting (XSS) w statycznie generowanych plikach HTML, gdy używany jest tryb Framework z włączonym pre-renderingiem i nieodpowiednio zneutralizowaną wartością nagłówka HTTP `Location`. Problem ten nie dotyczy aplikacji korzystających z trybu Deklaratywnego lub trybu Danych.

Risk Assessment

Organizacje mogą być narażone na ataki XSS, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. Wykorzystanie tej luki może zagrażać integralności aplikacji webowych.

Recommendation

Zaleca się aktualizację React Router do wersji 7.13.2 lub nowszej, aby usunąć tę podatność. Należy również przeanalizować źródła przekazywanych lokalizacji, aby upewnić się, że są one zaufane.

Original NVD description (English source)

React Router is a router for React. In versions 7.5.1 through 7.13.1, when using Framework Mode with pre-rendering enabled, improper neutralization of the HTTP `Location` header value can permit Cross-Site Scripting (XSS) in the statically generated HTML files if the redirect location comes from an untrusted source. This does not impact applications using Declarative Mode (`<BrowserRouter>`) or Data Mode (`createBrowserRouter/<RouterProvider>`). This is patched in version 7.13.2.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS