CVE-2026-21884: Kritische XSS-Lücke in React Router-Komponente

Zusammenfassung

Eine kritische Sicherheitslücke in der -Komponente von React Router ermöglicht bei Server-Side-Rendering die Ausführung von beliebigem JavaScript, wenn unsichere Inhalte zur Generierung der Schlüssel verwendet werden. Der Patch ist in @remix-run/react 2.17.3 und react-router 7.12.0 enthalten. Ohne Server-Side-Rendering oder bei Verwendung von Declarative Mode bzw. Data Mode ist die Lücke nicht betroffen.

React Router is a router for React. In @remix-run/react version prior to 2.17.3. and react-router 7.0.0 through 7.11.0, a XSS vulnerability exists in in React Router's API in Framework Mode when using the getKey/storageKey props during Server-Side Rendering which could allow arbitrary JavaScript execution during SSR if untrusted content is used to generate the keys. There is no impact if server-side rendering in Framework Mode is disabled, or if Declarative Mode () or Data Mode (createBrowserRouter/) is being used. This issue has been patched in @remix-run/react version 2.17.3 and react-router version 7.12.0.