Vulnerabilidad en react-router de remix-run (CVE-2025-61686)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
10/01/2026
Última modificación:
04/02/2026
Descripción
React Router es un router para React. En las versiones de @react-router/node 7.0.0 a 7.9.3, @remix-run/deno anteriores a la versión 2.17.2, y @remix-run/node anteriores a la versión 2.17.2, si se utiliza createFileSessionStorage() de @react-router/node (o @remix-run/node/@remix-run/deno en Remix v2) con una cookie sin firmar, es posible que un atacante haga que la sesión intente leer/escribir desde una ubicación fuera del directorio de archivos de sesión especificado. El éxito del ataque dependería de los permisos del proceso del servidor web para acceder a esos archivos. Los archivos leídos no pueden ser devueltos directamente al atacante. Las lecturas de archivos de sesión solo tendrían éxito si el archivo coincidiera con el formato de archivo de sesión esperado. Si el archivo coincidiera con el formato de archivo de sesión, los datos se poblarían en la sesión del lado del servidor pero no se devolverían directamente al atacante a menos que la lógica de la aplicación devolviera información específica de la sesión. Este problema ha sido parcheado en la versión 7.9.4 de @react-router/node, la versión 2.17.2 de @remix-run/deno y la versión 2.17.2 de @remix-run/node.
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:shopify:react-router\/node:*:*:*:*:*:node.js:*:* | 7.0.0 (incluyendo) | 7.9.4 (excluyendo) |
| cpe:2.3:a:shopify:remix-run\/deno:*:*:*:*:*:node.js:*:* | 2.17.2 (excluyendo) | |
| cpe:2.3:a:shopify:remix-run\/node:*:*:*:*:*:node.js:*:* | 2.17.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página