漏洞描述
nuxt/framework 是一个基于 Vue 3 的开源 Web 框架。
nuxt/framework v3.0.0-rc.13之前的版本中在开发模式下存在反射型 XSS 漏洞,漏洞源于模板 error-dev.vue 中 @nuxt\ui-templates 使用 v-html 指令呈现错误的堆栈跟踪内容,攻击者可通过恶意构造的 url 链接导航到 /__nuxt_error?stack=%0A<script>alert("xss!")</script> 进行 XSS 攻击,从而执行恶意 JavaScript 代码。
| 漏洞名称 | nuxt/framework <v3.0.0-rc.13 存在反射型 XSS 漏洞 |
|---|---|
| 漏洞类型 | XSS |
| 发现时间 | 2022-12-12 |
| 漏洞影响广度 | 小 |
| MPS编号 | MPS-2022-67386 |
| CVE编号 | CVE-2022-4413 |
| CNVD编号 | - |
影响范围
nuxt/framework@(-∞, v3.0.0-rc.13)
修复方案
升级nuxt/framework到 v3.0.0-rc.13 或更高版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-67386
https://nvd.nist.gov/vuln/detail/CVE-2022-4413
https://huntr.dev/bounties/70ac720d-c932-4ed3-98b1-dd2cbcb90185/
https://github.com/nuxt/framework/commit/253c8f7ee0c0c580c44dedbe9387646264e90a1e
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
