Vercel News
·
针对React Router和Remix漏洞的保护措施
内容提要
安全研究人员发现Remix框架中的React Router存在两个高危漏洞(CVE-2025-43864和CVE-2025-43865),可能导致缓存中毒和跨站脚本攻击。Vercel已采取保护措施,建议用户更新到React Router 7.5.2并清除缓存。
关键要点
-
安全研究人员在Remix框架中发现了两个高危漏洞:CVE-2025-43864和CVE-2025-43865。
-
这两个漏洞可能导致缓存中毒和跨站脚本攻击(XSS)。
-
Vercel已采取保护措施,建议用户更新到React Router 7.5.2并清除缓存。
-
漏洞允许外部方通过特定请求头修改响应,可能导致服务拒绝(DoS)和存储型XSS。
-
受影响的版本为Remix/React Router v7.0.0至v7.5.1,用户在此版本中可能受到影响。
-
Vercel已在防火墙中部署了缓解措施,移除了请求中的特定头部以保护新请求。
-
Vercel还主动清除了其网络上的CDN响应缓存以防止潜在攻击。
-
建议使用额外缓存层的用户(如Cloudflare或其他CDN)单独清除这些缓存。
延伸解读
漏洞影响范围
此次发现的CVE-2025-43864和CVE-2025-43865漏洞影响了Remix/React Router v7.0.0至v7.5.1版本,用户在此版本中可能面临缓存中毒和跨站脚本攻击的风险。即使是未认证的用户也可能受到影响,因此建议所有使用这些版本的开发者尽快更新。
Vercel的应对措施
Vercel已在其防火墙中实施了缓解措施,通过移除特定请求头来保护用户。此举有效防止了潜在的攻击,并且Vercel还主动清除了其CDN响应缓存,以降低风险。用户应关注这些更新,以确保其应用程序的安全性。
更新的重要性
React Router 7.5.2版本已修复了上述漏洞,强烈建议用户尽快更新到此版本。未及时更新可能导致应用程序面临严重的安全威胁,尤其是在使用缓存的情况下,攻击者可以利用这些漏洞进行恶意操作。
延伸问答
Remix框架中的React Router存在哪些漏洞?
Remix框架中的React Router存在两个高危漏洞,分别是CVE-2025-43864和CVE-2025-43865。
这些漏洞可能导致什么安全问题?
这些漏洞可能导致缓存中毒和跨站脚本攻击(XSS)。
Vercel采取了哪些措施来应对这些漏洞?
Vercel已在防火墙中部署了缓解措施,移除了特定请求头,并清除了CDN响应缓存。
受影响的React Router版本有哪些?
受影响的版本为Remix/React Router v7.0.0至v7.5.1。
用户应该如何保护自己的应用程序?
用户应更新到React Router 7.5.2并清除缓存,以保护应用程序。
如果使用了额外的缓存层,应该怎么做?
如果使用了额外的缓存层,如Cloudflare或其他CDN,建议单独清除这些缓存。
