CVE-2025-61686｜React Router未授权目录遍历漏洞（POC）

0x00 前言

React Router是一个用于React应用程序的导航和路由管理库，帮助开发者在单页应用（SPA）中实现URL与界面组件的动态同步，无需页面刷新。 它通过声明式路由配置（如定义路径与组件的映射关系）支持嵌套路由、参数化路径（如动态 ID）和重定向等功能。

0x01 漏洞描述

漏洞影响使用createFileSessionStorage进行会话管理、且配置为“未签名Cookie”的场景。 程序在处理客户端提交的Session ID时，未对路径遍历字符（如 ../）进行校验与清洗，导致输入被拼接到路径中。攻击者构造特殊Cookie值，可突破存储目录限制，实现对服务器文件的任意访问/写入。特定条件下，攻击者可向服务器写入恶意文件或覆盖核心配置。 漏洞触发满足以下条件： 1.应用程序使用createFileSessionStorage()函数 2.配置中未提供secrets参数（cookie未签名） 3.Web服务器进程具有文件系统写入权限 4.存在可访问的会话处理端点 —— ——来源于网络

0x02 CVE编号

CVE-2025-61686

0x03 影响版本

@react-router/node 7.0.0 至 7.9.3
@remix-run/node < 2.17.2
@remix-run/deno < 2.17.2

0x04 漏洞详情

POC：

https://github.com/FlowerWitch/CVE-2025-61686_docker

0x05 参考链接

https://github.com/remix-run/react-router/security/advisories/GHSA-9583-h5hc-x8cw

推荐阅读：

CVE-2025-54068｜Livewire组件远程代码执行漏洞（POC）

CVE-2025-55182｜React/Next.js远程代码执行漏洞（POC）

CVE-2026-21440｜AdonisJS远程代码执行漏洞（POC）

Ps：国内外安全热点分享，欢迎大家分享、转载，请保证文章的完整性。文章中出现敏感信息和侵权内容，请联系作者删除信息。信息安全任重道远，感谢您的支持

本公众号的文章及工具仅提供学习参考，由于传播、利用此文档提供的信息而造成任何直接或间接的后果及损害，均由使用者本人负责,本公众号及文章作者不为此承担任何责任。