Vulnerabilities ›

CVE-2026-40181

Medium

CWE-601 — Weakness Type

                    Published: Jun 2, 2026                      ·  Modified: Jun 5, 2026                      ·  Source: NVD                

CVSS v3

6.1

🔗 NVD Official

📄 Description (English)

React Router is a router for React. In versions 7.0.0 through 7.14.0 and 6.7.0 through 6.30.3, certain URLs passed to the redirect function can trigger an open redirect to an external domain due to path values starting with // being reinterpreted as protocol-relative URLs. The level of impact depends on the validation done by the application prior to returning the redirect. This does not impact applications using Declarative Mode (<BrowserRouter>). This is patched in versions 7.14.1 and 6.30.4.

🤖 AI Executive Summary

React Router versions 6.7.0-6.30.3 and 7.0.0-7.14.0 are vulnerable to open redirect attacks when URLs starting with // are misinterpreted as protocol-relative URLs in the redirect function. This vulnerability allows attackers to redirect users to external domains, potentially compromising user security and trust.

📄 Description (Arabic)

تحتوي إصدارات React Router المتأثرة على خلل في معالجة عناوين URL التي تبدأ بشرطة مائلة مزدوجة، حيث يتم تفسيرها كعناوين نسبية للبروتوكول بدلاً من المسارات النسبية. يمكن للمهاجمين استغلال هذا الخلل لإنشاء روابط خادعة تعيد توجيه المستخدمين إلى مواقع خارجية ضارة. التطبيقات التي تستخدم Declarative Mode لا تتأثر بهذه الثغرة.

🤖 ملخص تنفيذي (AI)

تأثر إصدارات React Router 6.7.0-6.30.3 و7.0.0-7.14.0 بثغرات إعادة التوجيه المفتوحة عندما يتم إساءة تفسير عناوين URL التي تبدأ بـ // كعناوين نسبية للبروتوكول. يمكن لمهاجمين استخدام هذه الثغرة لإعادة توجيه المستخدمين إلى نطاقات خارجية، مما قد يؤثر على أمان وثقة المستخدم.

🤖 AI Intelligence Analysis Analyzed: Jun 5, 2026 01:38

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

banking telecom government healthcare

🎯 MITRE ATT&CK Techniques

T1598.003 T1566.002

⚖️ Saudi Risk Score (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade React Router to version 7.14.1 or later for version 7.x, or version 6.30.4 or later for version 6.x. Implement strict URL validation before passing URLs to the redirect function, ensuring URLs do not start with // unless intentionally using protocol-relative URLs. Review application code for any custom redirect implementations and apply similar validation patterns.

🔧 خطوات المعالجة (العربية)

قم بترقية React Router إلى الإصدار 7.14.1 أو أحدث للإصدار 7.x، أو الإصدار 6.30.4 أو أحدث للإصدار 6.x. طبق التحقق الصارم من صحة عناوين URL قبل تمريرها إلى دالة إعادة التوجيه، مع التأكد من عدم بدء عناوين URL بـ // إلا إذا كان الاستخدام مقصوداً. راجع كود التطبيق للبحث عن أي تطبيقات إعادة توجيه مخصصة وطبق أنماط التحقق المماثلة.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.12.6.1 A.14.2.1

🔵 SAMA CSF

ID.SC-4 PR.DS-6

🟡 ISO 27001:2022

A.12.6.1 A.14.2.1 A.14.2.5

🔗 References & Sources 1

🔗

https://github.com/remix-run/react-router/security/advisories/GHSA-2j2x-hqr9-3h42

security-advisories@github.com

Vendor Advisory

📦 Affected Products / CPE 2 entries

shopify:react-router

📊 CVSS Score

6.1

/ 10.0 — Medium

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeC — Changed

ConfidentialityL — Low / Local

IntegrityL — Low / Local

AvailabilityN — None / Network

📋 Quick Facts

Severity Medium

CVSS Score6.1

CWECWE-601

EPSS0.04%

Exploit No

Patch ✗ No

Published 2026-06-02

Source Feed nvd

🇸🇦 Saudi Risk Score

6.0

/ 10.0 — Saudi Risk

Priority: MEDIUM

🏷️ Tags

CWE-601

🏢 Vendor Advisories

🔗 https://github.com/remix-run/react-router/security/a...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-40181

Introduce Yourself

Sign In Required