記事2026年1月13日 00:00検証済み#セキュリティ#脆弱性#JavaScript

React Router・Remixに複数の脆弱性｜CSRF・XSS・ファイルアクセスのリスク

React Router 7.0.0〜7.11.0および関連するRemixパッケージに複数のセキュリティ脆弱性が報告されました。いずれもWebアプリケーションのセキュリティを脅かす深刻な問題であり、CSRF（クロスサイトリクエストフォージェリ）、XSS（クロスサイトスクリプティング）、任意ファイルへのアクセスといった攻撃につながる可能性があります。 React RouterやRemixを使用している開発チームは、早急にバージョンを確認し

要点まとめ

📌 この記事のポイント

1CVE-2026-22030はFramework Modeでのドキュメント POST リクエストに対するCSRF脆弱性
2CVE-2026-22029はオープンリダイレクト脆弱性でXSS実行につながる可能性
3CVE-2026-21884はScrollRestoration APIのXSS脆弱性
4react-router 7.12.0およびRemix関連パッケージの更新で修正済み

React Router・Remixに複数の脆弱性｜CSRF・XSS・ファイルアクセスのリスクのサムネイル

https://nvd.nist.gov/vuln/detail/CVE-2026-22030

1. これは何の話？

React RouterやRemixを使用している開発チームは、早急にバージョンを確認しアップデートを検討する必要があります。修正版は既に公開されており、react-router 7.12.0で対応済みです。

2. 何がわかったか

主な脆弱性として以下の3件が確認されています。

CVE-2026-22030はCSRF脆弱性で、Framework ModeまたはRSCモードでサーバーサイドアクションハンドラを使用している場合に影響します。UIルートへのドキュメントPOSTリクエストに対してCSRF攻撃が可能となります。

CVE-2026-22029はオープンナビゲーションリダイレクト脆弱性で、loaderやactionからのリダイレクトパスに信頼できないコンテンツが含まれる場合、意図しないJavaScript実行につながる可能性があります。

CVE-2026-21884はScrollRestoration APIにおけるXSS脆弱性で、SSR時にgetKey/storageKeyプロパティに信頼できないコンテンツを使用すると任意のJavaScript実行が可能になります。

3. 他とどう違うのか

Framework Mode（SSRを伴うサーバーサイド処理）を使用するReact Routerアプリケーションが主に影響を受けます。Declarative Mode（BrowserRouter）やData Mode（createBrowserRouter/RouterProvider）のみを使用しているアプリケーションはCSRF脆弱性の影響を受けません。

一方で、別途報告されたCVE-2025-61686（CVSS 8.8/10の重大度）はcreateFileSessionStorage関数における不正なCookie処理の問題で、セッションディレクトリ外のファイルへのアクセスや変更が可能になるというより深刻な問題です。

4. なぜこれが重要か

React RouterはReactエコシステムで最も広く使用されているルーティングライブラリであり、影響範囲が非常に広いです。特にFramework Modeでサーバーサイド処理を行っているアプリケーションではCSRF対策が標準で期待されるため、この脆弱性は設計上の前提を覆す可能性があります。

XSSやファイルアクセス脆弱性は認証情報の窃取やデータ漏洩に直結するため、早急な対応が必要です。

5. 未来の展開・戦略性

修正版（react-router 7.12.0、@remix-run/server-runtime 2.17.3等）が既にリリースされており、パッケージマネージャで更新可能です。今後は同様のSSR関連脆弱性に対するセキュリティ監査がReact Router/Remixエコシステム全体で強化されることが期待されます。

サーバーサイドレンダリングを活用するフレームワーク全般で、信頼境界（Trust Boundary）の設計見直しが進む可能性があります。

6. どう考え、どう動くか

たとえば、社内で運用中のReact Routerアプリケーションがあれば、まずバージョンを確認し7.12.0未満であれば即座に更新することが推奨されます。

指針：

package.jsonでreact-routerおよびRemix関連パッケージのバージョンを確認する。
Framework Mode/RSCモードを使用しているか確認し、該当する場合は優先的に更新する。
ScrollRestorationコンポーネントでユーザー入力をキーに使用していないか確認する。

次の一歩：

今日やること：対象パッケージのバージョン確認と更新計画の策定。
今週やること：該当アプリのセキュリティテストを実施し、脆弱性が悪用されていないかログを確認する。

7. 限界と未確定

全てのReact Routerアプリケーションが影響を受けるわけではない。Declarative ModeやData Modeのみの場合はCSRF脆弱性の影響外。
CVE-2025-61686のファイルアクセス脆弱性はcreateFileSessionStorageを使用しているアプリのみ影響。
既に攻撃が行われたかどうかはアプリケーションごとのログ分析が必要。

8. 用語ミニ解説

ユーザーの意図しないリクエストを偽造する攻撃のこと。（Cross-Site Request Forgery / CSRF）
悪意あるスクリプトをサイトに注入して実行する攻撃のこと。（Cross-Site Scripting / XSS）

9. 出典と日付

NIST NVD CVE-2026-22030（参照日：2026-01-13）：https://nvd.nist.gov/vuln/detail/CVE-2026-22030 NIST NVD CVE-2026-22029（参照日：2026-01-13）：https://nvd.nist.gov/vuln/detail/CVE-2026-22029 NIST NVD CVE-2026-21884（参照日：2026-01-13）：https://nvd.nist.gov/vuln/detail/CVE-2026-21884 GBHackers報道：https://gbhackers.com/react-router-vulnerability/

キーワードで深掘り

キーワードをクリックして関連記事を探索しましょう

Timeline

次に読む

全体タイムラインの流れで前後の記事を辿れます。

NVIDIA→

公式

NVIDIA TTT-E2E｜コンテキストを重みに圧縮してLLMが推論時に学習

1月13日

Google←

公式

Veo 3.1 Ingredients to Video：画像から縦動画4Kまで、AIビデオ生成の新境地

1月13日

著者Yuji Sakuta

公開日2026年1月13日

検証日2026年1月21日

元の投稿を開く

📌 この記事のポイント

1CVE-2026-22030はFramework Modeでのドキュメント POST リクエストに対するCSRF脆弱性

2CVE-2026-22029はオープンリダイレクト脆弱性でXSS実行につながる可能性

3CVE-2026-21884はScrollRestoration APIのXSS脆弱性

4react-router 7.12.0およびRemix関連パッケージの更新で修正済み

1. これは何の話？

2. 何がわかったか

主な脆弱性として以下の3件が確認されています。

3. 他とどう違うのか

4. なぜこれが重要か

XSSやファイルアクセス脆弱性は認証情報の窃取やデータ漏洩に直結するため、早急な対応が必要です。

5. 未来の展開・戦略性

サーバーサイドレンダリングを活用するフレームワーク全般で、信頼境界（Trust Boundary）の設計見直しが進む可能性があります。

6. どう考え、どう動くか

たとえば、社内で運用中のReact Routerアプリケーションがあれば、まずバージョンを確認し7.12.0未満であれば即座に更新することが推奨されます。

指針：

package.jsonでreact-routerおよびRemix関連パッケージのバージョンを確認する。
Framework Mode/RSCモードを使用しているか確認し、該当する場合は優先的に更新する。
ScrollRestorationコンポーネントでユーザー入力をキーに使用していないか確認する。

次の一歩：

今日やること：対象パッケージのバージョン確認と更新計画の策定。
今週やること：該当アプリのセキュリティテストを実施し、脆弱性が悪用されていないかログを確認する。

7. 限界と未確定

全てのReact Routerアプリケーションが影響を受けるわけではない。Declarative ModeやData Modeのみの場合はCSRF脆弱性の影響外。
CVE-2025-61686のファイルアクセス脆弱性はcreateFileSessionStorageを使用しているアプリのみ影響。
既に攻撃が行われたかどうかはアプリケーションごとのログ分析が必要。

8. 用語ミニ解説

ユーザーの意図しないリクエストを偽造する攻撃のこと。（Cross-Site Request Forgery / CSRF）
悪意あるスクリプトをサイトに注入して実行する攻撃のこと。（Cross-Site Scripting / XSS）

React Router・Remixに複数の脆弱性｜CSRF・XSS・ファイルアクセスのリスク

📌 この記事のポイント

1. これは何の話？

2. 何がわかったか

3. 他とどう違うのか

4. なぜこれが重要か

5. 未来の展開・戦略性

6. どう考え、どう動くか

7. 限界と未確定

8. 用語ミニ解説

9. 出典と日付

関連ツール

関連メモで深掘り

キーワードで深掘り

次に読む

React Router・Remixに複数の脆弱性｜CSRF・XSS・ファイルアクセスのリスク

📌 この記事のポイント

1. これは何の話？

2. 何がわかったか

3. 他とどう違うのか

4. なぜこれが重要か

5. 未来の展開・戦略性

6. どう考え、どう動くか

7. 限界と未確定

8. 用語ミニ解説

9. 出典と日付

関連ツール

関連メモで深掘り

キーワードで深掘り

次に読む