In den Paketen @react-router/node sowie @remix-run/node und @remix-run/deno wurde eine kritische Sicherheitslücke (CVE-2025-61686) entdeckt, die beim Einsatz von createFileSessionStorage() mit unsignierten Cookies auftritt. Betroffen sind React Router Versionen von 7.0.0 bis einschließlich 7.9.3 sowie Remix v2 bis Version 2.17.1.
Durch die Schwachstelle können Angreifer aus der Ferne und ohne Authentifizierung beeinflussen, aus welchem Pfad Session-Dateien gelesen oder beschrieben werden. Unter bestimmten Voraussetzungen ist dadurch ein Zugriff auf Dateien außerhalb des vorgesehenen Session-Verzeichnisses möglich. Ob der Angriff erfolgreich ist, hängt von den Dateisystem-Berechtigungen des Webserver-Prozesses ab.
Ein direktes Auslesen beliebiger Dateien ist zwar nicht möglich, jedoch können Session-Dateien geladen werden, sofern sie dem erwarteten Format entsprechen. In diesem Fall werden die Inhalte in die serverseitige Session übernommen, was je nach Anwendungslogik zu Manipulationen oder Ausfällen führen kann. Die Integrität und Verfügbarkeit gelten als hoch betroffen, die CVSS-Bewertung liegt bei 9.1 (kritisch).
Behoben wurde das Problem in @react-router/node ab Version 7.9.4 sowie in @remix-run/node und @remix-run/deno ab Version 2.17.2. Entwickler sollten dringend prüfen, ob createFileSessionStorage() mit unsignierten Cookies eingesetzt wird, und zeitnah auf die gepatchten Versionen aktualisieren.
