CVE-2026-42211— React Router 任意构造函数调用导致未授权远程代码执行漏洞

CVSS 8.1 · High 更新于 2026-06-03

可能的 ATT&CK 技术 1AI

T1190 · Exploit Public-Facing Application

影响版本矩阵 1

厂商	产品	版本范围	状态
remix-run	react-router	`>= 7.0.0, < 7.14.2`	affected

获取后续新漏洞提醒登录后订阅

一、漏洞 CVE-2026-42211 基础信息

AIGC 神龙大模型
美国国家漏洞数据库 NVD

漏洞信息

对漏洞内容有疑问？看看神龙的深度分析是否有帮助！

查看神龙十问 ↗

尽管我们使用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性，但请您根据实际情况进行核实和判断。

Vulnerability Title

React Router's vendored turbo-stream v2 allows arbitrary constructor invocation via TYPE_ERROR deserialization leading to Unauth RCE

来源: 美国国家漏洞数据库 NVD

Vulnerability Description

React Router is a router for React. In versions 7.0.0 through 7.14.1, when using Framework Mode, a combination of steps could potentially allow unauthorized remote code execution (RCE) through external requests. This attack requires the application code to have an existing prototype pollution vulnerability, which can then be leveraged in a 2-step attack where the second step triggers unauthorized RCE on the remote server. This does not impact applications using Declarative Mode (`<BrowserRouter>`) or Data Mode (`createBrowserRouter/<RouterProvider>`). This is patched in version 7.14.2.

来源: 美国国家漏洞数据库 NVD

CVSS Information

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

来源: 美国国家漏洞数据库 NVD

Vulnerability Type

可信数据的反序列化

来源: 美国国家漏洞数据库 NVD

受影响产品

厂商	产品	影响版本	CPE	订阅
remix-run	react-router	>= 7.0.0, < 7.14.2	-

二、漏洞 CVE-2026-42211 的公开POC

#	POC 描述	源链接	神龙链接

AI 生成 POC高级

Qwen3.6-35B-A3B · 4927 chars

Pro+ 专属包含：

漏洞复现靶场录像（真实沙箱构建 + 触发，独家）

漏洞原理深度分析

触发条件与影响面

完整可执行 POC 代码

利用链与缓解建议

POC 打包下载

每月 100+ 条 AI 生成额度

升级 Pro+ 解锁限时 ¥499/月 ¥599 先注册

三、漏洞 CVE-2026-42211 的情报信息

请登录查看更多情报信息。

CVE-2026-42211 厂商安全公告 (1)

🔗 Potential RCE via 2-step attack chained onto existing prototype pollution vulnerability · Advisory · remix-run/react-router · GitHub 查看完整文章 x_refsource_CONFIRM

https://nvd.nist.gov/vuln/detail/CVE-2026-42211

同批安全公告 · remix-run · 2026-06-02 · 共 6 条

CVE-2026-33245	8.0 HIGH	React Router 不稳定 RSC 重定向处理中的 XSS 漏洞
CVE-2026-42342	7.5 HIGH	React Router 在 __manifest 端点因无界路径扩展导致拒绝服务漏洞
CVE-2026-34077	7.5 HIGH	React Router 单请求中反射用户输入导致拒绝服务漏洞
CVE-2026-33244	5.4 MEDIUM	React Router 预渲染重定向HTML存储型XSS漏洞
CVE-2026-40181		React Router //路径重定向漏洞

IV. Related Vulnerabilities

Same product: react-router

Same vendor: remix-run

Same weakness: CWE-502

V. Comments for CVE-2026-42211

暂无评论

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-42211— React Router 任意构造函数调用导致未授权远程代码执行漏洞

可能的 ATT&CK 技术 1AI

影响版本矩阵 1

一、漏洞 CVE-2026-42211 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2026-42211 的公开POC

三、漏洞 CVE-2026-42211 的情报信息

CVE-2026-42211 厂商安全公告 (1)

同批安全公告 · remix-run · 2026-06-02 · 共 6 条

IV. Related Vulnerabilities

V. Comments for CVE-2026-42211

发表评论

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-42211— React Router 任意构造函数调用导致未授权远程代码执行漏洞

可能的 ATT&CK 技术 1AI

影响版本矩阵 1

一、 漏洞 CVE-2026-42211 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2026-42211 的公开POC

三、漏洞 CVE-2026-42211 的情报信息

CVE-2026-42211 厂商安全公告 (1)

同批安全公告 · remix-run · 2026-06-02 · 共 6 条

IV. Related Vulnerabilities

V. Comments for CVE-2026-42211

发表评论

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

一、漏洞 CVE-2026-42211 基础信息