Plateforme
nodejs
Composant
nuxt
Corrigé dans
3.4.1
3.12.4
La vulnérabilité CVE-2024-34344 est une exécution de code à distance (RCE) affectant Nuxt, un framework JavaScript pour la création d'applications web universelles. Cette faille permet à un attaquant d'exécuter du code JavaScript arbitraire côté serveur via une validation insuffisante du paramètre 'path' dans le composant NuxtTestComponentWrapper. Les versions de Nuxt antérieures à 3.12.4 sont vulnérables. Une mise à jour vers la version 3.12.4 corrige cette vulnérabilité.
L'impact de cette vulnérabilité est critique car elle permet à un attaquant de prendre le contrôle complet du serveur Nuxt. En exploitant cette faille, un attaquant peut injecter et exécuter du code JavaScript malveillant, ce qui lui permet d'accéder à des données sensibles, de modifier le contenu du site web, de compromettre d'autres systèmes sur le même réseau, ou même de lancer des attaques par déni de service (DoS). La capacité d'exécuter des commandes arbitraires côté serveur ouvre la porte à une large gamme d'attaques, rendant la sécurité de l'application et du serveur globalement compromise. Cette vulnérabilité est particulièrement préoccupante dans les environnements de production où Nuxt est utilisé pour héberger des applications web critiques.
Cette vulnérabilité a été publiée le 5 août 2024. Bien qu'il n'y ait pas d'indications d'exploitation active à ce jour, la nature de la vulnérabilité (RCE) et sa facilité d'exploitation potentielle en font une cible attrayante pour les attaquants. Il est probable que des preuves de concept (PoC) publiques soient bientôt disponibles, ce qui pourrait augmenter le risque d'exploitation. Le KEV score n'est pas encore disponible.
Applications utilizing Nuxt versions prior to 3.12.4 are at risk, particularly those exposing the NuxtTestComponentWrapper component to untrusted input. Development environments and staging servers running vulnerable versions are also high-priority targets. Teams using automated deployment pipelines should ensure the upgrade process is prioritized.
• nodejs / server:
ps aux | grep nuxt
journalctl -u nuxt -f | grep "nuxt-root.vue"• generic web:
curl -I 'http://your-nuxt-app/path/to/vulnerable/component?path=evil.js' # Check for unusual response headers
grep 'evil.js' /var/log/nginx/access.log # Look for requests containing malicious pathsdisclosure
Statut de l'Exploit
EPSS
1.31% (percentile 80%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Nuxt vers la version 3.12.4 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver temporairement le composant NuxtTestComponentWrapper ou de restreindre l'accès à celui-ci. En attendant la mise à jour, une solution de contournement potentielle pourrait consister à renforcer la validation du paramètre 'path' pour s'assurer que seules les entrées autorisées sont acceptées. Il est également conseillé de surveiller attentivement les journaux du serveur pour détecter toute activité suspecte. Après la mise à jour, vérifiez que le composant NuxtTestComponentWrapper fonctionne comme prévu et qu'il n'y a pas de nouvelles erreurs.
Actualice Nuxt a la versión 3.12.4 o superior. Esta versión corrige la vulnerabilidad de ejecución remota de código. La actualización se puede realizar a través de npm o yarn, dependiendo de su gestor de paquetes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-34344 is a Remote Code Execution vulnerability in Nuxt, allowing attackers to execute arbitrary JavaScript on the server due to insufficient path validation in the NuxtTestComponentWrapper component.
You are affected if you are using Nuxt versions prior to 3.12.4. Assess your Nuxt deployment to determine if it is vulnerable.
Upgrade to Nuxt version 3.12.4 or later to resolve the vulnerability. If immediate upgrade is not possible, implement WAF rules and restrict access to the vulnerable component.
While no active exploitation has been confirmed, the ease of exploitation suggests a high probability of exploitation in the near future.
Refer to the official Nuxt security advisory for detailed information and updates: https://github.com/nuxt/nuxt/security/advisories/CVE-2024-34344
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.