Katalog CVE

CVE-2026-53663

NiskieCVSS 3.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.11%

Percentyl 1 — wyżej niż 1% wszystkich znanych CVE

Streszczenie

React Router w wersjach od 7.12.0 do 7.15.1 miał niewystarczające kontrole CSRF w trybie Framework Mode, które działały na żądania POST, ale były omijane w przypadku żądań PUT/PATCH/DELETE. Ta podatność została naprawiona w wersji 7.15.1.

Ocena ryzyka

Podatność ma niską wagę, ponieważ nowoczesne zabezpieczenia przeglądarek (CORS preflight, ciasteczka SameSite) blokują wektory ataków między źródłami, które ta brakująca kontrola CSRF mogłaby otworzyć.

Rekomendacja

Zaleca się aktualizację React Router do wersji 7.15.1 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

React Router is a router for React. From 7.12.0 until 7.15.1, certain CSRF checks in React Router v7 Framework Mode were insufficient and run on POST requests, but were bypassed on PUT/PATCH/DELETE requests. This is a low severity vulnerability because modern browser protections (CORS preflight, SameSite cookies) already block the cross-origin attack vectors that this missing CSRF check would otherwise gate. This vulnerability is fixed in 7.15.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS