つみかさね

CVE-2025-61686

Critical(9.1)

React Router/Remixのセッションファイルパストラバーサル CVE-2025-61686:影響範囲と対応方法

公開日: 2026-07-16データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
@react-router/nodeReact Router7.0.0 - 7.9.3
@remix-run/nodeRemix< 2.17.2
@remix-run/denoRemix< 2.17.2

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1@react-router/node / @remix-run/node / @remix-run/denoのバージョンを確認する
  2. 2修正版(7.9.4 / 2.17.2以降)へアップデートする
  3. 3セッションCookieに署名を付与する運用に切り替える

影響対象

React Router / Remix利用者

対応不要な人

  • ファイルセッションストレージを使用していない
  • 署名付きCookieを使用している、または修正版へ更新済みである

補足

  • -createFileSessionStorage()を署名なしCookieで使用している場合に影響します

関連するリリース情報

この脆弱性に関連するフレームワークの最新リリース・修正バージョンを確認できます。

CVEReact RouterRemixパストラバーサルセッション

30秒で判断

  • 対応すべき人: @react-router/node 7.0.0〜7.9.3、または@remix-run/node・@remix-run/deno 2.17.2未満でcreateFileSessionStorage()を署名なしCookieで使っている方
  • 対応不要な人: ファイルセッションストレージを使用していない、署名付きCookieを使っている、または修正版へ更新済みの方
  • 確認コマンド: npm ls @react-router/node @remix-run/node @remix-run/deno

概要

React Router(およびRemix)において、createFileSessionStorage()を署名なしCookieとともに使用している場合、攻撃者がセッションIDを操作することで、指定したセッションファイルディレクトリの外側のファイルを読み書きしようとさせられる脆弱性です。

攻撃の成否はWebサーバープロセスのファイルアクセス権限に依存します。読み取られたファイルが攻撃者に直接返されることはなく、またセッションファイル形式に一致する場合のみ読み込みが成立しますが、意図しないパスへのアクセスを許す点でCritical(CVSS 9.1)と評価されています。

CVSSベクトル

項目
CVSSスコア9.1
深刻度Critical
CWECWE-22 (パストラバーサル)

影響を受けるソフトウェア

製品ベンダー影響バージョン
@react-router/nodeRemix / React Router7.0.0 〜 7.9.3
@remix-run/nodeRemix< 2.17.2
@remix-run/denoRemix< 2.17.2

修正バージョンと回避策

  • 修正バージョン: @react-router/node 7.9.4、@remix-run/node 2.17.2、@remix-run/deno 2.17.2以降へアップデート
  • 回避策: セッションCookieに署名を付与する(署名付きCookieを使用する)

関連リンク


データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。