- شناسه CVE-2025-43865 :CVE
- CWE-345 :CWE
- yes :Advisory
- منتشر شده: آوریل 25, 2025
- به روز شده: آوریل 25, 2025
- امتیاز: 8.2
- نوع حمله: Data authenticity
- اثر گذاری: Cache Poisoning
- حوزه: برنامه نویسی
- برند: remix-run
- محصول: react-router
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
در نسخههای قبل از نسخه ۷.۵.۲، این امکان وجود داشت که با اضافه کردن یک هدر به درخواست، دادههای پیش از رندر شدن را تغییر داد. این کار اجازه میداد که محتوای دادهها به طور کامل جعل و مقادیر شیء دادهای که به HTML ارسال میشود، تغییر کند. این مشکل در نسخه ۷.۵.۲ برطرف شده است.
امکان آغاز حمله از راه دور وجود دارد. توصیه میشود که بخش آسیبدیده به نسخه جدیدتر ارتقا یابد.
توضیحات
استفاده از استاندارد CWE برای توصیف این مشکل منجر به کد CWE-345 میشود. محصول بهطور کافی منبع یا اصالت دادهها را تأیید نمیکند، به شکلی که دادههای نامعتبر را میپذیرد. اثرات این آسیبپذیری شامل آسیب به یکپارچگی و در دسترس بودن سیستم میشود.
اکسپلویت این آسیبپذیری آسان شناخته شده است. حمله میتواند از راه دور آغاز شود. هیچ نیازی به احراز هویت برای اکسپلویت این آسیبپذیری وجود ندارد.
CVSS
| Score | Severity | Version | Vector String |
| 8.2 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected at >= 7.0, < 7.5.2 | react-router |
لیست محصولات بروز شده
| Versions | Product |
| 7.5.2 | react-router |
نتیجه گیری
ارتقاء به نسخه ۷.۵.۲ این آسیبپذیری را برطرف میکند. اعمال پچ با شناسه c84302972a152d851cf5dd859ff332b354b70111 میتواند این مشکل را رفع کند. بهترین اقدام پیشنهادی، ارتقاء به آخرین نسخه موجود است.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-43865
- https://www.cvedetails.com/cve/CVE-2025-43865/
- https://github.com/remix-run/react-router/security/advisories/GHSA-cpj6-fhp6-mr6j
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-43865
- https://vuldb.com/?id.306206
- https://nvd.nist.gov/vuln/detail/CVE-2025-43865
- https://cwe.mitre.org/data/definitions/345.html
