CVE-2026-45670
ŚrednieCVSS 5.4Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 10 — wyżej niż 10% wszystkich znanych CVE
Streszczenie
W wersjach @nuxt/rspack-builder i @nuxt/webpack-builder od 3.15.4 do przed 3.21.6 oraz 4.0.0-alpha.1 do przed 4.4.6 występuje niekompletna poprawka dla GHSA-4gf7-ff8x-hq99. Kod źródłowy może zostać skradziony podczas pracy dewelopera, gdy serwer deweloperski jest powiązany z adresem innym niż loopback.
Ocena ryzyka
Organizacja może być narażona na kradzież kodu źródłowego, jeśli deweloper otworzy złośliwą stronę w tej samej sieci, co serwer deweloperski. To może prowadzić do wycieku poufnych informacji i naruszenia bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację do wersji 3.21.6 lub 4.4.6, aby usunąć tę podatność. Dodatkowo, należy unikać uruchamiania serwera deweloperskiego na adresach innych niż loopback.
Oryginalny opis (angielski, źródło NVD)
Nuxt is an open-source web development framework for Vue.js. In @nuxt/rspack-builder and @nuxt/webpack-builder versions 3.15.4 to before 3.21.6, and 4.0.0-alpha.1 to before 4.4.6, there is an incomplete fix for GHSA-4gf7-ff8x-hq99. Source code may be stolen during dev when using the webpack / rspack builder if the dev server is bound to a non-loopback address (e.g. nuxt dev --host) and the developer opens a malicious site on the same network. This issue has been patched in versions 3.21.6 and 4.4.6.

