CVE-2026-42211

Nome do Software Vulnerável e Versões Afetadas React Router versões 7.0.0 a 7.14.1

Description Ao utilizar o Framework Mode, uma combinação de etapas pode permitir a execução remota de código (RCE) não autorizada por meio de requisições externas. Isso ocorre porque o turbo-stream v2 integrado pode ser abusado para permitir a invocação arbitrária de construtores através de desserialização insegura. O ataque requer que o código da aplicação possua uma vulnerabilidade de prototype pollution existente, que é então aproveitada em um processo de duas etapas para disparar a RCE no servidor remoto. Este problema não afeta aplicações que utilizam o Declarative Mode (<BrowserRouter>) ou o Data Mode (createBrowserRouter/<RouterProvider>).

Recommendations Atualizar para a versão 7.14.2.