Katalog CVE

CVE-2026-56698

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 13 — wyżej niż 13% wszystkich znanych CVE

Streszczenie

Wersje Nuxt 4.0.0 przed 4.4.7 oraz 3.x przed 3.21.7 nie walidują URL-i z możliwością skryptów w opcji open metody navigateTo, co pozwala na wykonanie skryptów po stronie klienta. Atakujący mogą dostarczyć URL-e javascript: przez parametr open, co umożliwia wykonanie dowolnych skryptów w kontekście aplikacji.

Ocena ryzyka

Brak walidacji URL-i może prowadzić do wykonania złośliwego kodu, co stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych użytkowników. Atakujący mogą wykorzystać tę lukę do przejęcia kontroli nad aplikacją.

Rekomendacja

Zaleca się aktualizację Nuxt do wersji 4.4.7 lub 3.21.7 oraz wdrożenie dodatkowych mechanizmów walidacji wejścia, aby zapobiec wstrzykiwaniu złośliwych skryptów.

Oryginalny opis (angielski, źródło NVD)

Nuxt versions 4.0.0 before 4.4.7 and 3.x before 3.21.7 fail to validate script-capable URLs in the navigateTo open option, allowing client-side script execution. Attackers can supply javascript: URLs through the open parameter to execute arbitrary scripts in the application's origin when user-controlled input is passed to navigateTo.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS