Plataforma
nodejs
Componente
@nuxtjs/mdc
Corregido en
0.13.4
0.13.3
La vulnerabilidad CVE-2025-24981 es una falla de tipo Cross-Site Scripting (XSS) presente en la librería @nuxtjs/mdc. Esta falla permite a un atacante inyectar código JavaScript arbitrario en la aplicación, comprometiendo la seguridad de los usuarios. Afecta a versiones de @nuxtjs/mdc anteriores a 0.13.3 y se ha solucionado en esta versión. Se recomienda actualizar la librería a la última versión disponible.
Un atacante puede explotar esta vulnerabilidad inyectando URLs maliciosas que contengan el protocolo javascript: dentro de archivos Markdown procesados por @nuxtjs/mdc. Debido a una falla en la validación de URLs, el código JavaScript contenido en estas URLs se ejecutará en el contexto del navegador del usuario. Esto podría permitir al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, modificar el contenido de la página o incluso tomar el control completo de la aplicación. La severidad crítica de esta vulnerabilidad radica en su facilidad de explotación y el potencial impacto en la confidencialidad, integridad y disponibilidad de la aplicación.
Esta vulnerabilidad fue publicada el 6 de febrero de 2025. No se ha reportado explotación activa en entornos reales, pero la naturaleza de la vulnerabilidad XSS y su fácil explotación la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear activamente los sistemas afectados y aplicar las mitigaciones necesarias lo antes posible. No se ha añadido a KEV a la fecha.
Web applications built with Nuxt.js that utilize the @nuxtjs/mdc module for markdown rendering are at risk. This includes projects that allow user-generated content within markdown files, as attackers could inject malicious URLs through these channels. Shared hosting environments using older versions of @nuxtjs/mdc are particularly vulnerable.
• nodejs / supply-chain:
npm list @nuxtjs/mdc• nodejs / supply-chain:
grep -r 'https://github.com/nuxt-modules/mdc/blob/main/src/runtime/parser/utils/props.ts#L16' node_modules• generic web:
Inspect markdown content for URLs containing the javascript: protocol scheme. Monitor server logs for requests containing such URLs.
disclosure
Estado del Exploit
EPSS
0.03% (8% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar la librería @nuxtjs/mdc a la versión 0.13.3 o superior, donde se ha corregido la falla. Si la actualización no es inmediatamente posible, se recomienda implementar una validación estricta de las URLs en el código de procesamiento de Markdown. Esto podría incluir una lista blanca de protocolos permitidos o una función de sanitización que elimine cualquier URL que contenga el protocolo javascript:. Además, se recomienda implementar una política de seguridad de contenido (CSP) para restringir las fuentes de JavaScript que pueden ejecutarse en la aplicación.
Actualice el módulo @nuxtjs/mdc a la versión 0.13.3 o superior. Esta versión contiene una corrección para la vulnerabilidad XSS. Para actualizar, ejecute `npm update @nuxtjs/mdc` o `yarn upgrade @nuxtjs/mdc` en su proyecto.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-24981 is a critical XSS vulnerability in the @nuxtjs/mdc module, allowing attackers to inject JavaScript code through improperly parsed URLs in markdown content.
You are affected if you are using @nuxtjs/mdc versions prior to 0.13.3 and process user-supplied markdown content.
Upgrade to @nuxtjs/mdc version 0.13.3 or later. Implement input validation and sanitization as a temporary workaround.
No active exploits have been reported, but the high CVSS score suggests a high likelihood of exploitation if unpatched.
Refer to the official @nuxtjs/mdc repository and associated release notes for the advisory and detailed information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.