CVE-2025-31137, una vulnerabilidad de seguridad crítica, se ha identificado en el enrutador React. Reacrouter es una biblioteca popular utilizada por millones de desarrolladores para administrar el enrutamiento en aplicaciones React.
Los investigadores de seguridad en Zhero_Web_Security han descubierto este defecto. Esto afecta los marcos React Router 7 y Remix 2 cuando se usa adaptadores Express. Potencialmente podría exponer las aplicaciones web a los ataques de derivación de la adicción y la aplicación web (WAF).
Según una publicación compartida en X, la vulnerabilidad se atribuye a la desinfección inapropiada del huésped de adaptadores Express y el encabezado HTTP de anfitrión X
Para ser precisos, un atacante puede manipular la URL inyectando los nombres de ruta de URL en las secciones de puerto de estos encabezados. El código vulnerable en el adaptador Express maneja estos encabezados sin una verificación adecuada.
Cuando se manipula el encabezado de huésped X-Forwarded, el valor después del colon se trata como un puerto y se concatena directamente con el nombre del host.
Sin desinfección, un atacante puede inyectar cualquier componente de ruta que cambie el comportamiento de enrutamiento de la aplicación.
A continuación se muestra una descripción general de la vulnerabilidad:
Factor de riesgo factor reactor de producto Rotor v7.0.0–7.4.0, remix v2.11.1–2.16.2 (cuando se usa adaptador expreso) posioning (cpdos), waf bypass, traversal de ruta, xss/sqli escalada
Utilización de requisitos previos – utilizando adaptadores Express – Capacidad para operar host o X -Forwarded -Host HeadersCVSS 3.1 Score7.5 (alto)
Vector de ataque
Los investigadores de seguridad han identificado múltiples vectores de ataque que explotan esta vulnerabilidad.
Denegación de servicio de adicción a la memoria caché (CPDoS): un atacante puede obligar al sistema de caché a almacenar respuestas incorrectas manipulando la ruta de la URL a través del encabezado.
Esto no permitirá que la aplicación sea completamente no utilizada si las respuestas envenenadas se distribuyen en la red de entrega de contenido.
Bypass de firewall de aplicaciones web: la vulnerabilidad permite a los atacantes dividir las cargas útiles maliciosas entre encabezados y URL, evitando potencialmente WAF que analizan estos componentes individualmente.
Esta técnica permite una variedad de ataques, incluida la inyección de SQL y las secuencias de comandos entre sitios (XSS).
Traversal de ruta: un atacante puede acceder a rutas que un mecanismo de seguridad de nivel de enrutamiento podría proteger manipulando las URL efectivas utilizadas para determinar el enrutamiento.
Por ejemplo, un atacante puede enviar una solicitud utilizando este encabezado de operación.
Versiones y parches afectados
Vulnerabilidades afecta:
@React-Router/Express Versiones 7.0.0 a 7.4.0. @Remix-Run/Express versión 2.11.1 o superior.
Este problema ha sido parcheado en React Router 7.4.1 y Remix 2.16.3, lanzado el 28 de marzo de 2025.
Con más de 13,2 millones de descargas semanales, el uso generalizado de los enrutadores React hace que esta vulnerabilidad sea particularmente vulnerable. La vulnerabilidad tiene una puntuación CVSS de 7.5 (alta), lo que indica su impacto potencial significativo.
“Esta vulnerabilidad podría explotarse de varias maneras, ya sea directa o indirectamente, si está vinculada a otra explotación”, dijeron los investigadores.
“Todos estos sitios son muy populares y ampliamente utilizados en todo el mundo, y el aspecto CPDOS por sí solo podría ser completamente inutilizable”.
Las organizaciones que usan enrutadores react o marcos de remix deben:
Actualice inmediatamente el enrutador React 7.4.1 o Remix 2.16.3. Si las actualizaciones no son posibles de inmediato, implemente la validación de encabezados como una solución temporal. Verifique el registro de la aplicación para obtener posibles intentos de explotación. Considere implementar una capa adicional de seguridad más allá de WAF para aplicaciones críticas.
A medida que las aplicaciones web dependen cada vez más de marcos frontales complejos, esta vulnerabilidad resalta la importancia de revisiones de seguridad exhaustivas y parches de dependencia rápida en el ciclo de vida del desarrollo.
Investigue los enlaces maliciosos del mundo real y los ataques de phishing con búsqueda de inteligencia de amenazas: pruebe 50 solicitudes gratuitas
