Plataforma
nodejs
Componente
@nuxt/icon
Corregido en
1.4.6
1.4.5
La vulnerabilidad CVE-2024-42352 es una falla de SSRF (Server-Side Request Forgery) presente en la biblioteca @nuxt/icon. Esta falla permite a un atacante manipular el esquema y el host de las peticiones realizadas por el servidor, lo que podría resultar en la exposición de datos sensibles. Afecta a versiones anteriores a 1.4.5 y se recomienda actualizar a la versión corregida o implementar medidas de mitigación.
Un atacante que explote esta vulnerabilidad puede realizar peticiones a recursos internos que normalmente no serían accesibles desde el exterior. Esto podría incluir el acceso a bases de datos, servicios de administración o incluso otros sistemas dentro de la red. La manipulación del esquema y el host permite a un atacante eludir las restricciones de seguridad y acceder a información confidencial. El impacto potencial es la exposición de datos sensibles, la toma de control del servidor y la comprometer la integridad de la aplicación.
Esta vulnerabilidad fue publicada el 5 de agosto de 2024. No se ha reportado su explotación activa en campañas conocidas, pero la naturaleza de SSRF la convierte en un objetivo atractivo para atacantes. No se ha añadido a la lista KEV de CISA. La existencia de un POC público podría facilitar la explotación por parte de actores maliciosos.
Applications using @nuxt/icon version 1.4.4 or earlier are at risk. This includes Nuxt.js projects relying on this component for icon management. Shared hosting environments where the application server has limited network access controls are particularly vulnerable, as an attacker could potentially leverage the SSRF to access other services on the same host.
• nodejs / server:
ps aux | grep _nuxt_icon• nodejs / server:
find / -name "_nuxt_icon/[name]" -type f 2>/dev/null• generic web:
curl -I http://your-nuxt-app.com/api/_nuxt_icon/malicious_urlInspect the response headers for unexpected hostnames or schemes.
disclosure
Estado del Exploit
EPSS
0.08% (25% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar la biblioteca @nuxt/icon a la versión 1.4.5 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es posible de inmediato, se recomienda implementar medidas de mitigación como restringir las URLs permitidas, validar y sanitizar las entradas del usuario y utilizar un firewall de aplicaciones web (WAF) para bloquear peticiones maliciosas. Además, monitorear los logs del servidor en busca de patrones de tráfico inusuales puede ayudar a detectar intentos de explotación.
Actualice el paquete `@nuxt/icon` a la versión 1.4.5 o superior. Esto solucionará la vulnerabilidad SSRF. Ejecute `npm update @nuxt/icon` o `yarn upgrade @nuxt/icon` para actualizar el paquete.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-42352 es una vulnerabilidad de SSRF en la biblioteca @nuxt/icon que permite a atacantes manipular las peticiones del servidor, exponiendo datos sensibles. Tiene una severidad ALTA (CVSS 8.6).
Si está utilizando @nuxt/icon en una versión anterior a 1.4.5, es vulnerable a esta falla de SSRF. Verifique la versión instalada con npm list @nuxt/icon.
La solución recomendada es actualizar a la versión 1.4.5 o superior de @nuxt/icon. Si no puede actualizar, implemente medidas de mitigación como restringir URLs permitidas.
Aunque no se han reportado explotaciones activas conocidas, la naturaleza de SSRF la convierte en un objetivo potencial. Monitoree sus sistemas en busca de actividad sospechosa.
Consulte el repositorio oficial de @nuxt/icon en GitHub para obtener información y actualizaciones sobre esta vulnerabilidad: [https://github.com/nuxt/ui](https://github.com/nuxt/ui)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.