Escanear gratis

Esta página aún no ha sido traducida a tu idioma. Mostrando contenido en inglés mientras trabajamos en ello.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

MEDIUMCVE-2025-52662CVSS 6.9

CVE-2025-52662: XSS in Nuxt Devtools

Plataforma

nuxt

Componente

@nuxt/devtools

Corregido en

2.6.4

Ver en NVD
Guardar
Traduciendo a tu idioma…

CVE-2025-52662 describes a cross-site scripting (XSS) vulnerability discovered in Nuxt Devtools. This flaw could potentially allow an attacker to extract Nuxt authentication tokens under specific configurations. The vulnerability impacts versions 2.6.3–2.6.3 of Nuxt Devtools, and a fix is available in version 2.6.4.

Impacto y Escenarios de Ataquetraduciendo…

Successful exploitation of this XSS vulnerability could lead to the unauthorized extraction of Nuxt authentication tokens. These tokens grant access to sensitive data and functionalities within the Nuxt.js application. An attacker could leverage these tokens to impersonate legitimate users, access restricted resources, and potentially compromise the entire application. The impact is particularly severe for applications relying on Nuxt Devtools for debugging and development workflows, as attackers could inject malicious scripts during development or testing phases.

Contexto de Explotacióntraduciendo…

CVE-2025-52662 was published on 2025-11-07. The vulnerability's impact is considered Medium, with a CVSS score of 6.9. No public proof-of-concept exploits are currently known, and there are no reports of active campaigns targeting this vulnerability. Refer to the official Nuxt.js advisory for more details: https://vercel.com/changelog/cve-2025-52662-xss-on-nuxt-devtools.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta

EPSS

0.04% (13% percentil)

CISA SSVC

Explotaciónnone
Automatizableno
Impacto Técnicopartial

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:H/A:N6.9MEDIUMAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityHighCondiciones necesarias para explotarPrivileges RequiredNoneNivel de autenticación requeridoUser InteractionRequiredSi la víctima debe realizar una acciónScopeChangedImpacto más allá del componente afectadoConfidentialityLowRiesgo de exposición de datos sensiblesIntegrityHighRiesgo de modificación no autorizada de datosAvailabilityNoneRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Alta — requiere condición de carrera, configuración no predeterminada o circunstancias específicas. Más difícil de explotar.
Privileges Required
Ninguno — sin autenticación. No se necesitan credenciales para explotar.
User Interaction
Requerida — la víctima debe abrir un archivo, hacer clic en un enlace o visitar una página.
Scope
Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
Confidentiality
Bajo — acceso parcial o indirecto a algunos datos.
Integrity
Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
Availability
Ninguno — sin impacto en disponibilidad.

Software Afectado

Componente@nuxt/devtools
ProveedorVercel
Versión mínima2.6.3
Versión máxima2.6.3
Corregido en2.6.4

Cronología

  1. Reservado
  2. Publicada
  3. Modificada
  4. EPSS actualizado

Mitigación y Workaroundstraduciendo…

The primary mitigation for CVE-2025-52662 is to immediately upgrade Nuxt Devtools to version 2.6.4 or later. If upgrading is not feasible due to compatibility issues or breaking changes, consider temporarily disabling or restricting access to Nuxt Devtools in production environments. While a direct WAF rule is unlikely to be effective against this XSS, carefully reviewing and sanitizing all user inputs within the Nuxt.js application remains a crucial defense-in-depth measure. After upgrading, verify the fix by attempting to trigger the vulnerable functionality and confirming that the authentication token is not exposed.

Cómo corregirlotraduciendo…

Actualice Nuxt Devtools a la versión 2.6.4 o superior. Esto solucionará la vulnerabilidad XSS que permite la extracción de tokens de autenticación. Puede actualizar el paquete utilizando npm o yarn.

Preguntas frecuentestraduciendo…

What is CVE-2025-52662 — XSS in Nuxt Devtools?

CVE-2025-52662 is a cross-site scripting (XSS) vulnerability affecting Nuxt Devtools versions 2.6.3–2.6.3. It allows potential extraction of Nuxt auth tokens under specific configurations.

Am I affected by CVE-2025-52662 in Nuxt Devtools?

If you are using Nuxt Devtools version 2.6.3–2.6.3, you are potentially affected. Upgrade to version 2.6.4 or later to mitigate the risk.

How do I fix CVE-2025-52662 in Nuxt Devtools?

The recommended fix is to upgrade Nuxt Devtools to version 2.6.4 or a later version. If upgrading is not immediately possible, consider temporarily restricting access to Nuxt Devtools.

Is CVE-2025-52662 being actively exploited?

As of the current assessment, there are no reports of active exploitation campaigns targeting CVE-2025-52662, but vigilance is still advised.

Where can I find the official Nuxt Devtools advisory for CVE-2025-52662?

You can find the official advisory and more details on the Nuxt.js changelog: https://vercel.com/changelog/cve-2025-52662-xss-on-nuxt-devtools

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...