Oceandust

**Nome do Software Vulnerável e Versões Afetadas** React Router versões 7.7.0 até 7.13.1 React Router versões anteriores a 7.14.0 Remix versões 2.9.0 e posteriores **Description** Dois problemas distintos foram identificados. Primeiro, uma falha de Cross-Site Scripting (XSS) no lado do cliente existe no processamento de redirecionamentos dentro das APIs instáveis de React Server Components (RSC) quando os redirecionamentos provêm de fontes não confiáveis. Segundo, uma condição de Negação de Serviço (DoS) pode ocorrer no Framework Mode e no Remix com Single Fetch habilitado, onde o algoritmo de serialização torna-se um gargalo ao codificar tipos específicos de dados em respostas do servidor. Isso não afeta aplicações que utilizam Declarative Mode (`<BrowserRouter>`) ou Data Mode (`createBrowserRouter`/`<RouterProvider>`). **Recommendations** Atualizar React Router versões 7.7.0 até 7.13.1 para a versão 7.13.2. Atualizar React Router versões anteriores a 7.14.0 para a versão 7.14.0 ou posterior. Atualizar Remix versões 2.9.0 e posteriores para uma versão que resolva o gargalo de serialização.

**Nome do Software Vulnerável e Versões Afetadas** React Router versões 7.0.0 a 7.11.0 @remix-run/router versões anteriores a 1.23.2 **Descrição** O React Router, um roteador para React, é suscetível a problemas de redirecionamento aberto. Especificamente, Aplicações de Página Única (SPAs) que utilizam React Router (e Remix v1/v2) no Modo Framework, Modo Dados ou nos modos RSC instáveis podem experimentar URLs inseguras que levam à execução não intencional de JavaScript no cliente ao lidar com redirecionamentos originados de loaders ou actions. Isso só é uma preocupação quando os caminhos de redirecionamento são criados a partir de conteúdo não confiável ou por meio de um redirecionamento aberto. O problema não afeta aplicações que utilizam Modo Declarativo (<BrowserRouter>). **Recomendações** React Router versões 7.0.0 a 7.11.0: Atualize para a versão 7.12.0 ou superior. @remix-run/router versões anteriores a 1.23.2: Atualize para a versão 1.23.2 ou superior.

**Nome do Software Vulnerável e Versões Afetadas** react-router versões 7.0.0 a 7.11.0 @remix-run/server-runtime versões anteriores a 2.17.3 **Descrição** O React Router, utilizado como roteador para aplicações React, é suscetível a ataques de Falsificação de Requisição entre Sites (CSRF). Isso afeta requisições POST de documentos para rotas da interface quando são utilizados manipuladores de ações de rota no lado do servidor no Modo Framework ou ao utilizar Ações do Servidor React em modos instáveis de Componentes do Servidor de Renderização (RSC). O problema não afeta aplicações que utilizam Modo Declarativo (<BrowserRouter>) ou Modo de Dados (createBrowserRouter/<RouterProvider>). O problema ocorre ao processar requisições para rotas da interface com manipuladores de ações no lado do servidor. **Recomendações** Atualize o @remix-run/server-runtime para a versão 2.17.3 ou posterior. Atualize o react-router para a versão 7.12.0 ou posterior.