React Router / Remix CSRF सुरक्षा दोष सर्वर क्रियाओं में (CVE-2026-22030)
क्या हुआ
- React Router / Remix रनटाइम टीमों ने एक सुरक्षा सलाहकार (CVE-2026-22030 / GHSA-h5cw-625j-3rxh) प्रकाशित की जिसमें एक क्रॉस-साइट अनुरोध धोखाधड़ी (CSRF) / मूल-मान्यता दोष का वर्णन किया गया है जिसे सर्वर-साइड रूट क्रिया हैंडलरों का उपयोग करते समय या प्रयोगात्मक React सर्वर क्रियाओं का उपयोग करते समय दस्तावेज़ POST अनुरोधों द्वारा सक्रिय किया जा सकता है। यह समस्या मध्यम (CVSS 6.5) के रूप में रेट की गई है। पैच किए गए रिलीज़ उपलब्ध हैं। (github.com)
यह पूर्ण-स्टैक टीमों के लिए क्यों महत्वपूर्ण है
- सर्वर-साइड रूट क्रियाएँ और React सर्वर क्रियाएँ सीधे UI रूट से सर्वर लॉजिक को निष्पादित या सक्रिय करती हैं। उस अनुरोध-प्रसंस्करण पथ में CSRF का अंतर एक हमलावर को एक प्रमाणित पीड़ित के साथ अनचाहे स्थिति परिवर्तनों को प्रेरित करने की अनुमति देता है (उदाहरण: डेटा बदलना, लेनदेन करना, या सेटिंग्स को संशोधित करना) पीड़ित को एक दुर्भावनापूर्ण पृष्ठ लोड करने के लिए प्राप्त करके जो आपके ऐप को POST भेजता है।
- फ्रेमवर्क मोड, Remix v2, या अस्थिर RSC/सर्वर क्रिया सुविधाओं का उपयोग करने वाली टीमें प्राथमिक जोखिम समूह हैं - सलाह के अनुसार डिक्लेरेटिव मोड (
) या डेटा मोड (createBrowserRouter/RouterProvider) का उपयोग करने वाले ऐप प्रभावित नहीं हैं। (github.com)
तत्काल कार्रवाई (प्राथमिकता क्रम)
- अब निर्भरताएँ अपडेट करें
- फ्रेमवर्क मोड या सर्वर क्रियाओं का उपयोग करने वाले किसी भी प्रोजेक्ट में @remix-run/server-runtime को >= 2.17.3 और react-router को >= 7.12.0 में अपग्रेड करें। इसे किसी अन्य निर्भरता सुरक्षा पैच की तरह मानें: परीक्षण चलाएँ और CI द्वारा हरी झंडी मिलने पर तुरंत तैनात करें। (github.com)
- प्रभावित कोड पथों की पहचान करें
- उन रूट्स का ऑडिट करें जो सर्वर-साइड
actionहैंडलर्स, सर्वर फ़ंक्शंस, या प्रयोगात्मक सर्वर क्रियाओं को उजागर करते हैं। किसी भी दस्तावेज़ POST एंडपॉइंट्स पर ध्यान केंद्रित करें जो फ़ॉर्म डेटा स्वीकार करते हैं या स्थिति को परिवर्तित करते हैं।
- उन रूट्स का ऑडिट करें जो सर्वर-साइड
- हर सेवा के पैच होने तक रनटाइम शमन लागू करें
- प्रभावित एंडपॉइंट्स के लिए स्पष्ट एंटी-CSRF सुरक्षा की आवश्यकता करें (CSRF टोकन, सत्र कुकीज़ के लिए SameSite=strict कुकीज़, मूल/रेफरर जांच) और उन स्थिति-परिवर्तन करने वाले एंडपॉइंट्स को प्राथमिकता दें जो एक स्पष्ट हेडर या टोकन की आवश्यकता करते हैं जिसे ब्राउज़र स्वचालित रूप से नहीं भेजेंगे।
- CI / निर्भरता स्वच्छता
- सुनिश्चित करें कि निर्भरता स्कैन (npm audit, Snyk, Dependabot/GitHub Dependabot सुरक्षा अपडेट) सक्रिय हैं और इस सलाह के लिए स्वचालित रूप से PR बनाते हैं; उत्पादन रोलआउट से पहले स्टेजिंग में पारगमन अपग्रेड को पिन और परीक्षण करें।
पता लगाने और सत्यापन
- सूची: रिपॉजिटरी और निर्माण पाइपलाइनों में निर्भरता जांच (npm ls @remix-run/server-runtime react-router या अन्य पैकेज प्रबंधकों में समकक्ष) चलाएँ।
- रनटाइम जांच: एक्सेस लॉग और वेब एप्लिकेशन फ़ायरवॉल में UI रूट्स पर अप्रत्याशित POST के लिए देखें; सत्यापित करें कि स्थिति को परिवर्तित करने वाले अनुरोधों के लिए या तो एक मान्य CSRF टोकन या एक स्पष्ट API हेडर की आवश्यकता होती है जो स्वचालित क्रॉस-उत्पत्ति फ़ॉर्म प्रस्तुतियों में मौजूद नहीं है।
- परीक्षण: क्रिया एंडपॉइंट्स (गायब टोकन, गलत मूल) के खिलाफ CSRF प्रयासों का अनुकरण करने वाले एकीकरण परीक्षण जोड़ें ताकि पुनरावृत्तियों को रोका जा सके।
दीर्घकालिक शमन और सर्वोत्तम प्रथाएँ
- स्थिति परिवर्तनों के लिए स्पष्ट API रूट्स को प्राथमिकता दें: जब संभव हो, UI रूटिंग को म्यूटेशन एंडपॉइंट्स से अलग रखें, और म्यूटेशन एंडपॉइंट्स को CSRF टोकन या बियरर टोकन की आवश्यकता करें।
- सर्वर क्रियाओं के उपयोग को मजबूत करें: जब तक आप सुरक्षा मॉडल का पूरी तरह से मूल्यांकन नहीं कर लेते या जब तक अपस्ट्रीम प्रोजेक्ट उन्हें स्थिर नहीं मानते हैं, तब तक उत्पादन में अस्थिर RSC/सर्वर क्रिया सुविधाओं को सक्षम करने से बचें।
- स्वचालित करें: सर्वर-साइड हैंडलर्स के लिए स्वचालित परीक्षण कवरेज के बिना निर्भरता अपडेट के विलय को रोकें और विचार करें कि रनटाइम फ़ीचर फ्लैग्स अस्थायी सर्वर सुविधाओं को डिफ़ॉल्ट रूप से अक्षम कर दें।
सारांश CVE-2026-22030 React Router / Remix रनटाइम द्वारा उपयोग किए जाने वाले सर्वर-साइड क्रिया हैंडलिंग में एक व्यावहारिक CSRF/मूल-मान्यता दोष है। यदि आपका स्टैक फ्रेमवर्क मोड या अस्थिर सर्वर क्रियाओं के पथ का उपयोग करता है, तो तुरंत पैच किए गए रनटाइम संस्करणों में अपग्रेड करें, प्रभावित एंडपॉइंट्स का ऑडिट करें, और आवश्यकतानुसार CSRF/मूल सुरक्षा जोड़ें। (github.com)
स्रोत: GitHub सुरक्षा सलाहकार — GHSA-h5cw-625j-3rxh (React Router / @remix-run/server-runtime). (github.com)
स्रोत
आगे पढ़ें
Chrome 143 में FedCM में परिवर्तन: संरचित ID दावे, कड़े क्लाइंट मेटाडेटा, और ब्रेकिंग API अपडेट
31 जनवरी 2026Chrome 143 (12 जनवरी, 2026 को प्रकाशित) FedCM पहचान प्रवाह में परिवर्तन करता है: ID दावा टोकन संरचित JSON हो सकते हैं, क्लाइंट_मेटाडेटा सत्यापन लागू किया गया है, और कई API फ़ील्ड स्थानांतरित/नामांकित किए गए हैं — Chrome 145 से पहले माइग्रेशन आवश्यक है।
Undici CVE-2026-22036: अनबाउंड डिकंप्रेशन चेन संसाधन समाप्ति की अनुमति देती है — पैच जारी किए गए
30 जनवरी 202614 जनवरी, 2026 को undici (Node.js HTTP क्लाइंट) के लिए एक सुरक्षा सलाह में एक अनबाउंड डिकंप्रेशन-चेन भेद्यता का वर्णन किया गया है जो उच्च CPU और मेमोरी उपयोग की ओर ले जा सकती है। फुल-स्टैक टीमों को प्रभावित undici संस्करणों को खोजने और अपग्रेड करने और हल्के रनटाइम सुरक्षा जोड़ने की आवश्यकता है।
GitHub Actions 1‑vCPU Linux रनर अब सामान्य रूप से उपलब्ध
28 जनवरी 2026GitHub ने GitHub Actions में एक नया कम लागत वाला, कंटेनराइज्ड 1‑vCPU Linux रनर (ubuntu-slim) सामान्य रूप से उपलब्ध कराया है — पूर्ण-स्टैक टीमों को क्या जानना चाहिए और पहले क्या करना चाहिए।