CVE-2025-43864

Nome do Software Vulnerável e Versões Afetadas React Router versões 7.2.0 a 7.5.2

Descrição A vulnerabilidade permite que um atacante force uma aplicação a alternar para o modo SPA adicionando um cabeçalho à requisição. Se a aplicação utilizar SSR e for forçada a alternar para SPA, isso provoca um erro que corrompe completamente a página. Se houver um sistema de cache configurado, isso permite que a resposta contendo o erro seja armazenada em cache, resultando em um envenenamento de cache que impacta severamente a disponibilidade da aplicação. O cabeçalho vulnerável é X-React-Router-SPA-Mode.

Recomendações Para resolver o problema, atualize o React Router para a versão 7.5.2 ou posterior. Como medida temporária de contorno, considere desativar o uso do cabeçalho X-React-Router-SPA-Mode no React Router para aprimorar a segurança. Restrinja o acesso aos endpoints de API vulneráveis para minimizar o risco de exploração. Evite usar o cabeçalho X-React-Router-SPA-Mode em requisições para páginas afetadas até que o problema seja resolvido.