React應(yīng)用廣泛使用的路由庫React Router近期曝出重大安全漏洞，攻擊者可利用這些漏洞破壞內(nèi)容、污染緩存并篡改預(yù)渲染數(shù)據(jù)。

這些漏洞影響采用服務(wù)端渲染（SSR）和加載器（loaders）的Framework模式應(yīng)用，攻擊者無需用戶交互或特殊權(quán)限即可遠程利用。

雖然官方已在7.5.2版本中修復(fù)這兩個漏洞，但仍有數(shù)百萬應(yīng)用可能面臨風險。

強制SPA模式導致的緩存污染（CVE-2025-43864）

首個漏洞（CVSS評分7.5）允許攻擊者通過注入惡意標頭，強制服務(wù)端渲染（SSR）應(yīng)用切換至單頁應(yīng)用（SPA）模式。

安全公告指出："向使用加載器的頁面請求添加X-React-Router-SPA-Mode標頭會引發(fā)錯誤，導致頁面完全損壞。"

當SSR應(yīng)用被強制切換至SPA模式時，會生成顯著改變頁面內(nèi)容的錯誤。

該漏洞影響React Router 7.2.0至7.5.1版本。若系統(tǒng)啟用了緩存機制，被破壞的響應(yīng)可能被存儲并分發(fā)給后續(xù)用戶，造成緩存污染并引發(fā)拒絕服務(wù)（DoS）狀況。

預(yù)渲染數(shù)據(jù)偽造（CVE-2025-43865）

第二個更嚴重的漏洞（CVSS評分8.2）允許攻擊者通過注入特制的X-React-Router-Prerender-Data標頭篡改預(yù)渲染數(shù)據(jù)。

該攻擊向量可完全偽造內(nèi)容，在HTML送達用戶前修改數(shù)據(jù)對象中的值。

公告稱："通過向請求添加特定標頭，攻擊者可完全偽造預(yù)渲染數(shù)據(jù)內(nèi)容，修改傳遞給HTML的所有數(shù)據(jù)對象值。"

該漏洞影響范圍更廣（7.0至7.5.1版本），可能造成：

• 內(nèi)容篡改
• 緩存污染攻擊
• 根據(jù)客戶端數(shù)據(jù)處理實現(xiàn)方式，可能引發(fā)存儲型XSS漏洞

修復(fù)方案

React Router團隊已于2025年4月24日發(fā)布的7.5.2版本中修復(fù)這兩個漏洞，強烈建議所有用戶立即升級以消除安全風險。

使用React Router的組織應(yīng)：

• 立即升級至7.5.2或更高版本
• 若運行自定義緩存層，需實施正確的標頭驗證
• 檢查應(yīng)用日志中是否包含惡意標頭的攻擊嘗試
• 考慮實施內(nèi)容安全策略（CSP）提供額外防護

鑒于React Router在Web應(yīng)用中的廣泛使用，這些漏洞需要開發(fā)團隊立即關(guān)注并處理。