Vercel News
·
针对React Router和Remix漏洞的保护措施
💡
原文英文,约300词,阅读约需2分钟。
📝
内容提要
安全研究人员发现Remix框架中的React Router存在两个高危漏洞(CVE-2025-43864和CVE-2025-43865),可能导致缓存中毒和跨站脚本攻击。Vercel已采取保护措施,建议用户更新到React Router 7.5.2并清除缓存。
🎯
关键要点
- 安全研究人员在Remix框架中发现了两个高危漏洞:CVE-2025-43864和CVE-2025-43865。
- 这两个漏洞可能导致缓存中毒和跨站脚本攻击(XSS)。
- Vercel已采取保护措施,建议用户更新到React Router 7.5.2并清除缓存。
- 漏洞允许外部方通过特定请求头修改响应,可能导致服务拒绝(DoS)和存储型XSS。
- 受影响的版本为Remix/React Router v7.0.0至v7.5.1,用户在此版本中可能受到影响。
- Vercel已在防火墙中部署了缓解措施,移除了请求中的特定头部以保护新请求。
- Vercel还主动清除了其网络上的CDN响应缓存以防止潜在攻击。
- 建议使用额外缓存层的用户(如Cloudflare或其他CDN)单独清除这些缓存。
❓
延伸问答
Remix框架中的React Router存在哪些漏洞?
Remix框架中的React Router存在两个高危漏洞,分别是CVE-2025-43864和CVE-2025-43865。
这些漏洞可能导致什么安全问题?
这些漏洞可能导致缓存中毒和跨站脚本攻击(XSS)。
Vercel采取了哪些措施来应对这些漏洞?
Vercel已在防火墙中部署了缓解措施,移除了特定请求头,并清除了CDN响应缓存。
受影响的React Router版本有哪些?
受影响的版本为Remix/React Router v7.0.0至v7.5.1。
用户应该如何保护自己的应用程序?
用户应更新到React Router 7.5.2并清除缓存,以保护应用程序。
如果使用了额外的缓存层,应该怎么做?
如果使用了额外的缓存层,如Cloudflare或其他CDN,建议单独清除这些缓存。
➡️
