React Router の脆弱性 CVE-2025-61686 が FIX:サーバ・ファイルの窃取/改変が可能

Critical React Router Vulnerability Let Attackers Access or Modify Server Files

2026/01/12 CyberSecurityNews — React Router に深刻な脆弱性 CVE-2025-61686 が発見された。このディレクトリトラバーサル脆弱性を悪用する攻撃者は、サーバファイルに対する窃取/改変を引き起こす可能性がある。この脆弱性は React Router エコシステム内の複数のパッケージに影響し、CVSS v3.1 スコアは 9.8 (Critical) と評価されている。

不正なファイル・アクセスの脆弱性

脆弱性 CVE-2025-61686は、署名されていない Cookie で使用される createFileSessionStorage()  関数に存在する。攻撃者はセッション Cookie を操作することで、アプリケーションに対して指定されたセッション・ディレクトリ外にあるファイルの読み取りと書き込みを強制できる。

CVE IDSeverityAttack VectorFlaw Type
CVE-2025-61686Critical (9.8)NetworkPath Traversal

React Router/Remix Run エコシステム内の複数のパッケージが影響を受ける。

Package NameAffected Versions
@react-router/node7.0.0 through 7.9.3
@remix-run/deno2.17.1 and earlier
@remix-run/node2.17.1 and earlier

この脆弱性を悪用する攻撃者は、悪意のセッション Cookie を利用するディレクトリ・トラバーサル攻撃が可能となる。ファイル内容を直接取得することはできないが、悪用により以下の可能性が生じる。

  • セッション・ファイル形式に合致するファイルの読み取り
  • アプリケーション・ロジックにより返却される可能性のあるセッション・データの改変

さらに、サーバの権限設定に応じて、機密性の高いコンフィグ・ファイルへのアクセスが可能となる場合がある。攻撃の影響範囲は、Web サーバ・プロセスの権限と、ファイル・システムのアクセス制御に応じたものとなる。

開発者にとって必要なことは、以下の修正済みバージョンへの速やかなアップグレードである。

Package NameSafe Version (Fixed)
@react-router/node7.9.4 or later
@remix-run/deno2.17.2 or later
@remix-run/node2.17.2 or later

推奨される対策:GitHub アドバイザリによると、影響を受けるバージョンの React Router を使用している組織は、速やかに修正済みバージョンへとアップグレードする必要がある。このセキュリティ・パッチでは、セッション保存メカニズム内に適切なパス検証およびサニタイズが実装されており、ディレクトリ・トラバーサル脆弱性への対処が完了している。

アップグレードと併せて、開発者にとって必要なことは、サーバ・ファイルの権限およびアクセス制御の確認である。具体的には、セッション保存の実装において、署名されていない Cookie の使用状況を監査する必要がある。さらに、疑わしいセッション Cookie のパターンを監視し、可能であればファイル・システムに制限を実装することが推奨される。

React Router/Remix という現代の Web 開発で人気を博すライブラリに、深刻な脆弱性が発見されました。この問題の原因は、createFileSessionStorage() 関数における、セッション Cookie の不適切な処理にあります。具体的には、セッション情報をファイルとして保存する際に、Cookie に含まれる値をパスの一部として利用するという問題が生じていました。これにより、攻撃者が Cookie の値を “../” (親ディレクトリを指す記号) などを含んだものに書き換えることで、本来の保存場所を飛び越えて、サーバ上の機密性の高いコンフィグ・ファイルの読み取りや改変が可能になっていました。ご利用のチームは、ご注意ください。よろしければ、React での検索結果も、ご参照ください。