CVE-2026-56698
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 13 — wyżej niż 13% wszystkich znanych CVE
Streszczenie
Wersje Nuxt 4.0.0 przed 4.4.7 oraz 3.x przed 3.21.7 nie walidują URL-i z możliwością skryptów w opcji open metody navigateTo, co pozwala na wykonanie skryptów po stronie klienta. Atakujący mogą dostarczyć URL-e javascript: przez parametr open, co umożliwia wykonanie dowolnych skryptów w kontekście aplikacji.
Ocena ryzyka
Brak walidacji URL-i może prowadzić do wykonania złośliwego kodu, co stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych użytkowników. Atakujący mogą wykorzystać tę lukę do przejęcia kontroli nad aplikacją.
Rekomendacja
Zaleca się aktualizację Nuxt do wersji 4.4.7 lub 3.21.7 oraz wdrożenie dodatkowych mechanizmów walidacji wejścia, aby zapobiec wstrzykiwaniu złośliwych skryptów.
Oryginalny opis (angielski, źródło NVD)
Nuxt versions 4.0.0 before 4.4.7 and 3.x before 3.21.7 fail to validate script-capable URLs in the navigateTo open option, allowing client-side script execution. Attackers can supply javascript: URLs through the open parameter to execute arbitrary scripts in the application's origin when user-controlled input is passed to navigateTo.

