CVE-2025-61686: Sicherheitslücke in React Router und Remix lässt Angreifer Session-Daten manipulieren
⚠️ CVE-Referenzen:
CVE-2025-61686
Zusammenfassung
Eine Schwachstelle im Datei-Session-Speicher-Mechanismus von React Router und Remix ermöglicht es Angreifern, Session-Daten zu manipulieren, wenn ein nicht signierter Cookie verwendet wird. Zwar ist ein direkter Datei-Zugriff durch Angreifer nicht möglich, aber je nach Server-Berechtigungen können sie möglicherweise Session-Informationen auslesen oder schreiben. Das Problem wurde in neueren Versionen der Produkte behoben.
Remix-run - React-router - CRITICAL - CVE-2025-61686.
A vulnerability in the file session storage mechanism of React Router and Remix allows potential attackers to manipulate session data if an unsigned cookie is utilized with createFileSessionStorage(). This could lead to unauthorized attempts to read or write session data from locations outside the designated session file directory. While direct file access by attackers isn't possible, the exploit's success hinges on the web server process's permissions. Should the manipulated files align with the expected session file format, there's a risk that session information could inadvertently be revealed to the application, depending on its logic. This issue has been addressed in recent updates released by the vendor.
Quelle: securityvulnerability.io