关键信息 漏洞描述: - 漏洞类型: XSS(跨站脚本攻击) - 影响组件: React Router 的 API 在 Framework Mode 使用 / props 时,在服务端渲染 (SSR) 中若使用不可信内容生成键可能会导致任意 JavaScript 执行。 受影响版本: - @remix-run/react: =7.0.0, =2.17.3 - react-router: >=7.12.0 严重性评估: - CVSS v3 base score: 8.2/10,标记为 High - 详情: - 攻击向量: Network - 攻击复杂度: Low - 特权需求: None - 用户交互: Required - 作用域: Changed - 机密性: High - 完整性: Low - 可用性: None 注意事项: - 如果在 Framework Mode 中禁用了服务端渲染或使用 Declarative Mode ( 或 Data Mode ( / )),则此漏洞不会影响你的应用。 其他信息: - CVE ID: 目前未知 - 报告者: zaddy6 - 协调人: arthurgervais - 漏洞标识符: GHSA-8v8x-cx79-35w7