Hack Alerta

Vulnerabilidade crítica no React Router permite acesso a arquivos do servidor

Por Redação Hack Alerta Publicado em 12/01/2026 08:03 Riscos e Ameaças Tempo de leitura: 3 min

Pesquisadores divulgaram CVE‑2025‑61686: falha crítica (CVSS 9.8) em createFileSessionStorage() no ecossistema React Router/Remix que permite directory traversal via cookies não assinados. Pacotes afetados têm correções já publicadas no GitHub.

Pesquisadores identificaram vulnerabilidades críticas no ecossistema React Router/Remix que permitem leitura e escrita fora do diretório de sessão via manipulação de cookies de sessão; a falha principal foi registrada como CVE‑2025‑61686 com CVSS v3 9.8.

O que foi divulgado

Segundo reportagem do Cyber Security News, o problema reside na função createFileSessionStorage() quando utilizada com cookies não assinados. Explorações podem induzir traversal de diretório por meio de cookies maliciosos de sessão, forçando a aplicação a abrir, ler ou alterar ficheiros compatíveis com o formato de armazenamento de sessão.

Pacotes afetados e versões corrigidas

  • @react-router/node — versões 7.0.0 até 7.9.3 (corrigido em 7.9.4)
  • @remix-run/deno — 2.17.1 e anteriores (corrigido em 2.17.2)
  • @remix-run/node — 2.17.1 e anteriores (corrigido em 2.17.2)

O advisory no GitHub (remix‑run/react‑router) recomenda atualização imediata para as versões corrigidas e auditoria das implementações de armazenamento de sessão que aceitem cookies sem assinatura.

Impacto e limites técnicos

Embora a exploração permita leitura/escrita de ficheiros que satisfaçam o formato de sessão, o relatório deixa claro que não há necessariamente acesso direto a todo o conteúdo do sistema; o real alcance depende de permissões do processo do servidor e das restrições do sistema de arquivos. Em servidores com permissões amplas, o risco de exposição de ficheiros de configuração sensíveis aumenta.

Recomendações práticas para equipes de segurança

  • Atualizar imediatamente para @react‑router/node 7.9.4 e @remix‑run/* 2.17.2 ou superiores.
  • Revisar configurações de cookies de sessão: evitar cookies não assinados e garantir validação/sanitização de caminhos em qualquer mecanismo de armazenamento que persista em disco.
  • Ajustar permissões do processo web para reduzir alcance do sistema de arquivos (princípio do menor privilégio).
  • Monitorar logs por padrões anômalos de cookies de sessão e por tentativas de leitura/escrita em diretórios de sessão.

O que falta

Os relatos públicos não incluem exemplos de exploração em larga escala ou prova de exploração ativa em produção. O advisory do GitHub fornece correções e recomenda mitigação; investigações forenses adicionais seriam necessárias para confirmar exploração em ambientes específicos.

Fonte

Reporting do Cyber Security News (autor: Abinaya), com referência ao advisory no repositório oficial do projeto.

Baseado em publicação original de Cyber Security News
Tags: #react-router #vulnerabilidade #cve-2025-61686 #remix #node #javascript #seguranca #diretorio-traversal #github
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar