CVE-2025-61686

설명

React Router is a router for React. In @react-router/node versions 7.0.0 through 7.9.3, @remix-run/deno prior to version 2.17.2, and @remix-run/node prior to version 2.17.2, if createFileSessionStorage() is being used from @react-router/node (or @remix-run/node/@remix-run/deno in Remix v2) with an unsigned cookie, it is possible for an attacker to cause the session to try to read/write from a location outside the specified session file directory. The success of the attack would depend on the permissions of the web server process to access those files. Read files cannot be returned directly...

영향 제품·버전

공급사 remix-run

제품 react-router, Cryostat 4, Gatekeeper 3

영향 버전 @react-router/node >= 7.0.0, < 7.9.4, @remix-run/deno < 2.17.2, @remix-run/node < 2.17.2, >= 7.0.0 < 7.9.4, < 2.17.2

수정 버전 7.9.4, 2.17.2

조치 방법

• 공급사가 제공한 최신 보안 업데이트 적용
• 자사 보유 제품과 영향 버전의 일치 여부 확인
• 외부 노출 서비스와 비정상 인증·접속 로그 점검
• 패치가 어려우면 공급사 완화조치와 접근통제 적용

기술 정보

CVSS 벡터 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H

CWE CWE-22

EPSS 데이터 기준일 2026.06.27