React應(yīng)用廣泛使用的路由庫(kù)React Router近期曝出重大安全漏洞，攻擊者可利用這些漏洞破壞內(nèi)容、污染緩存并篡改預(yù)渲染數(shù)據(jù)。

這些漏洞影響采用服務(wù)端渲染（SSR）和加載器（loaders）的Framework模式應(yīng)用，攻擊者無(wú)需用戶(hù)交互或特殊權(quán)限即可遠(yuǎn)程利用。

雖然官方已在7.5.2版本中修復(fù)這兩個(gè)漏洞，但仍有數(shù)百萬(wàn)應(yīng)用可能面臨風(fēng)險(xiǎn)。

強(qiáng)制SPA模式導(dǎo)致的緩存污染（CVE-2025-43864）

首個(gè)漏洞（CVSS評(píng)分7.5）允許攻擊者通過(guò)注入惡意標(biāo)頭，強(qiáng)制服務(wù)端渲染（SSR）應(yīng)用切換至單頁(yè)應(yīng)用（SPA）模式。

安全公告指出："向使用加載器的頁(yè)面請(qǐng)求添加X(jué)-React-Router-SPA-Mode標(biāo)頭會(huì)引發(fā)錯(cuò)誤，導(dǎo)致頁(yè)面完全損壞。"

當(dāng)SSR應(yīng)用被強(qiáng)制切換至SPA模式時(shí)，會(huì)生成顯著改變頁(yè)面內(nèi)容的錯(cuò)誤。

該漏洞影響React Router 7.2.0至7.5.1版本。若系統(tǒng)啟用了緩存機(jī)制，被破壞的響應(yīng)可能被存儲(chǔ)并分發(fā)給后續(xù)用戶(hù)，造成緩存污染并引發(fā)拒絕服務(wù)（DoS）狀況。

預(yù)渲染數(shù)據(jù)偽造（CVE-2025-43865）

第二個(gè)更嚴(yán)重的漏洞（CVSS評(píng)分8.2）允許攻擊者通過(guò)注入特制的X-React-Router-Prerender-Data標(biāo)頭篡改預(yù)渲染數(shù)據(jù)。

該攻擊向量可完全偽造內(nèi)容，在HTML送達(dá)用戶(hù)前修改數(shù)據(jù)對(duì)象中的值。

公告稱(chēng)："通過(guò)向請(qǐng)求添加特定標(biāo)頭，攻擊者可完全偽造預(yù)渲染數(shù)據(jù)內(nèi)容，修改傳遞給HTML的所有數(shù)據(jù)對(duì)象值。"

該漏洞影響范圍更廣（7.0至7.5.1版本），可能造成：

• 內(nèi)容篡改
• 緩存污染攻擊
• 根據(jù)客戶(hù)端數(shù)據(jù)處理實(shí)現(xiàn)方式，可能引發(fā)存儲(chǔ)型XSS漏洞

修復(fù)方案

React Router團(tuán)隊(duì)已于2025年4月24日發(fā)布的7.5.2版本中修復(fù)這兩個(gè)漏洞，強(qiáng)烈建議所有用戶(hù)立即升級(jí)以消除安全風(fēng)險(xiǎn)。

使用React Router的組織應(yīng)：

• 立即升級(jí)至7.5.2或更高版本
• 若運(yùn)行自定義緩存層，需實(shí)施正確的標(biāo)頭驗(yàn)證
• 檢查應(yīng)用日志中是否包含惡意標(biāo)頭的攻擊嘗試
• 考慮實(shí)施內(nèi)容安全策略（CSP）提供額外防護(hù)

鑒于React Router在Web應(yīng)用中的廣泛使用，這些漏洞需要開(kāi)發(fā)團(tuán)隊(duì)立即關(guān)注并處理。