CVE-2026-53663
NiskieCVSS 3.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 1 — wyżej niż 1% wszystkich znanych CVE
Streszczenie
React Router w wersjach od 7.12.0 do 7.15.1 miał niewystarczające kontrole CSRF w trybie Framework Mode, które działały na żądania POST, ale były omijane w przypadku żądań PUT/PATCH/DELETE. Ta podatność została naprawiona w wersji 7.15.1.
Ocena ryzyka
Podatność ma niską wagę, ponieważ nowoczesne zabezpieczenia przeglądarek (CORS preflight, ciasteczka SameSite) blokują wektory ataków między źródłami, które ta brakująca kontrola CSRF mogłaby otworzyć.
Rekomendacja
Zaleca się aktualizację React Router do wersji 7.15.1 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
React Router is a router for React. From 7.12.0 until 7.15.1, certain CSRF checks in React Router v7 Framework Mode were insufficient and run on POST requests, but were bypassed on PUT/PATCH/DELETE requests. This is a low severity vulnerability because modern browser protections (CORS preflight, SameSite cookies) already block the cross-origin attack vectors that this missing CSRF check would otherwise gate. This vulnerability is fixed in 7.15.1.

