1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. React Routerの脆弱性がキャッシュポイズニングやWAFバイパス攻撃に悪用される危険性(CVE-2025-31137)

React Routerの脆弱性がキャッシュポイズニングやWAFバイパス攻撃に悪用される危険性(CVE-2025-31137)

セキュリティニュース

投稿日時: 更新日時:

React Routerの脆弱性がキャッシュポイズニングやWAFバイパス攻撃に悪用される危険性(CVE-2025-31137)

Reactのルーティングを管理するReact Routerの脆弱性(CVE-2025-31137)がキャッシュポイズニングやWAFバイパス攻撃に悪用される危険性があります。修正版がリリースされているので、対象者はアップデートする事をお勧めします。

脆弱性の対象バージョン

Remix 2.11.1以上/ React Router 7.0.0-7.4.0

脆弱性の対策バージョン

Remix 2.16.3 / React Router 7.4.1

脆弱性の概要

React RouterのExpressアダプターでは、HTTPヘッダ「X-Forwarded-Host」からの値を適切にサニタイズせずに読み込み、結果的に「複合的なURL造成」の機会を与えるようなコードが含まれていました。

これにより、URLパラメータを操作することでキャッシュ管理システムを欠陷に落とし返事をポイズンしてDoS状態を作ることやWAF バイパス、キャッシュポイズニングへの悪用が可能になります。

React Router は広く使用されているライブラリで、あるレポートによると毎週 1,320 万回以上ダウンロードされていますので対象者はアップデートする事をお勧めします。

関連記事

Default ThumbnailCitrixがPuTTY SSHの脆弱性がXenCenterへ影響する為顧客へ対応を依頼(CVE-2024-31497) Juniper(ジュニパー)深刻な脆弱性で緊急アップデートをリリース(CVE-2024-2973)Juniper(ジュニパー)深刻な脆弱性で緊急アップデートをリリース(CVE-2024-2973) フロントエンドツール Viteで任意ファイル読み取りが可能な脆弱性(CVE-2025-30208)フロントエンドツール Viteで任意ファイルの読み取りが可能な脆弱性(CVE-2025-30208) Apache Struts2の脆弱性を利用するPoCエクスプロイトが公開される(CVE-2024-53677)Apache Struts2の脆弱性を利用するPoCエクスプロイトが公開される(CVE-2024-53677) トロイの木馬化された「jQuery」がnpmやGitHubで拡散トロイの木馬化された「jQuery」がnpmやGitHubで拡散 Splunkで重大な脆弱性、対象者はアップデートを推奨(CVE-2025-20229、CVE-2025-20231)Splunkで重大な脆弱性、対象者はアップデートを推奨(CVE-2025-20229、CVE-2025-20231) Next.jsで認証バイパスの脆弱性(CVE-2024-51479)Next.jsで認証バイパスの脆弱性(CVE-2024-51479) Netgear C7800ルーターの脆弱性(CVE-2022-41545)Netgear C7800ルーターでパッチ未適用の脆弱性(CVE-2022-41545) Default Thumbnailバッファロー製の無線ルーター「WSR-1166DH」他複数製品でボット感染が急増、NICTが注意喚起