React Routerに「緊急」の脆弱性 悪用の難易度も低いため要注意：セキュリティニュースアラート

React Routerは、Node.js用パッケージなどに深刻な脆弱性が存在すると報告した。署名なしCookieとの併用時に、指定外のファイルを読み書きされる恐れがある。CVSSスコアは9.1と高く、開発者は最新版への更新が推奨される。

[ITmedia エンタープライズ編集部]

　React製のルーティング管理用のライブラリ「React Router」に、「Node.js」環境用パッケージなどにおける深刻な脆弱（ぜいじゃく）性が見つかった。この問題はCVE-2025-61686として識別されており、共通脆弱性評価システム（CVSS）v3.1のスコアは9.1、深刻度「緊急」（Critical）と評価されている。

React Routerに「緊急」の脆弱性　悪用の難易度も低いため要注意

　CVE-2025-61686は、Node.jsサーバ「@react-router/node」が提供する「createFileSessionStorage」を、署名されていないCookieと併用した場合に発生する不具合とされている。攻撃者が細工したリクエストを送信することで、セッション処理が本来指定されたディレクトリ以外の場所にあるファイルを読み書きしようとする可能性がある。攻撃の成否は、Webサーバプロセスに付与されたファイルアクセス権限に左右される。

　@react-router/nodeのバージョン7.0.0〜7.9.3までが影響を受け、「Remix v2」環境で利用される「@remix-run/node」および「@remix-run/deno」にも同様の問題が確認されており、いずれも2.17.1以前が対象とされている。修正バージョンは提供済みで、@react-router/nodeは7.9.4以降、@remix-run/nodeおよび@remix-run/denoは2.17.2以降で対策が講じられた。

　読み取り対象となるファイルは直接攻撃者に返される仕組みではない。セッションファイルの読み取りが成功するのは、対象ファイルが想定されるセッション形式と一致する場合に限られる。その際、内容はサーバ側のセッション情報として読み込まれるだけで、アプリケーションの実装次第では外部に出力されない場合もある。

　攻撃経路はネットワーク経由で可能とされ、攻撃の難易度は低く、特別な権限や利用者操作を必要としないとされている。機密性への直接的な影響は示されていないものの、完全性と可用性への影響が高いと評価されている。

　React RouterやRemixを使ったサーバサイド構成を運用する開発者は、createFileSessionStorageの利用状況とCookie設定を確認し、該当する場合は修正済みバージョンへの更新が推奨される。セッション管理に関連する設定が、意図しないファイル操作につながらないよう注意が求められる。