CVE-2026-21884

Nome do Software Vulnerável e Versões Afetadas Versões do @remix-run/react anteriores a 2.17.3 Versões do react-router de 7.0.0 até 7.11.0

Descrição O React Router, um roteador para React, contém uma vulnerabilidade de cross-site scripting (XSS) na API <ScrollRestoration> ao operar no Modo Framework durante a Renderização no Lado do Servidor (SSR). Esta falha surge ao utilizar as props getKey ou storageKey, potencialmente permitindo a execução arbitrária de JavaScript caso conteúdo não confiável seja utilizado para gerar as chaves. O problema não impacta sistemas onde a renderização no lado do servidor no Modo Framework está desabilitada, ou ao utilizar o Modo Declarativo (<BrowserRouter>) ou Modo de Dados (createBrowserRouter/<RouterProvider>). A vulnerabilidade é acionada durante o SSR e pode permitir a execução de scripts maliciosos.

Recomendações Versões do @remix-run/react anteriores a 2.17.3 devem ser atualizadas para a versão 2.17.3 ou posterior. Versões do react-router de 7.0.0 até 7.11.0 devem ser atualizadas para a versão 7.12.0 ou posterior.