Katalog CVE

CVE-2026-56317

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 — wyżej niż 11% wszystkich znanych CVE

Streszczenie

Nuxt przed wersją 4.4.7 (oraz gałąź 3.x przed 3.21.7) zawiera podatność na ataki typu cross-site scripting w komponencie NoScript, który zapisuje zawartość slotów do innerHTML bez odpowiedniego zabezpieczenia. Atakujący mogą wstrzykiwać złośliwe skrypty poprzez niezaufane dane w slotach NoScript, takie jak parametry route.query.

Ocena ryzyka

Wykorzystanie tej podatności może prowadzić do wykonania złośliwego kodu w kontekście dokumentu, co stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych użytkowników.

Rekomendacja

Zaleca się aktualizację Nuxt do wersji 4.4.7 lub 3.21.7, aby usunąć tę podatność. Należy również przeprowadzić audyt kodu w celu identyfikacji i zabezpieczenia miejsc, gdzie mogą być wstrzykiwane niezaufane dane.

Oryginalny opis (angielski, źródło NVD)

Nuxt before 4.4.7 (and the 3.x branch before 3.21.7) contains a cross-site scripting vulnerability in the NoScript component that writes slot content to innerHTML without escaping. Attackers can inject malicious scripts through untrusted data in NoScript slots, such as route.query parameters, which execute in the document context when the noscript tag is implicitly closed by script tags.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS