CVE-2025-43864

ALT (7,5)

CVSS3: 0,0

React Router és un encaminador per a React. A partir de la versió 7.2.0 i anteriors a la versió 7.5.2, és possible forçar una aplicació perquè canviï al mode SPA afegint una capçalera a la sol·licitud. Si l’aplicació utilitza SSR i es veu obligada a canviar a SPA, això provoca un error que corromp completament la pàgina. Si hi ha un sistema de memòria cau, això permet que la resposta que conté l’error s’emmagatzemi a la memòria cau, cosa que provoca una intoxicació de memòria cau que afecta fortament la disponibilitat de l’aplicació. Aquest problema s’ha resolt.

Sistemes Afectats

• remix-run react-router – >= 7.2.0, < 7.5.2.

Remediació
No hi ha cap recurs disponible a partir del 25 d’abril del 2025.

Referències

• https://github.com/remix-run/react-router/security/advisories/GHSA-f46r-rw29-r322
• https://github.com/remix-run/react-router/commit/c84302972a152d851cf5dd859ff332b354b70111
• https://github.com/remix-run/react-router/blob/e6c53a0130559b4a9bd47f9cf76ea5b08a69868a/packages/react-router/lib/server-runtime/server.ts#L407