Plateforme
nodejs
Composant
@nuxtjs/mdc
Corrigé dans
0.13.4
0.13.3
La vulnérabilité CVE-2025-24981 est une faille de type Cross-Site Scripting (XSS) affectant la bibliothèque @nuxtjs/mdc. Cette faille permet à un attaquant d'injecter et d'exécuter du code JavaScript arbitraire dans le navigateur d'un utilisateur, compromettant potentiellement la confidentialité et l'intégrité des données. Elle touche les versions de @nuxtjs/mdc antérieures à 0.13.3 et une correction est disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'injecter du code JavaScript malveillant dans une page web affichant du contenu Markdown traité par @nuxtjs/mdc. Ce code peut être utilisé pour voler des cookies de session, rediriger les utilisateurs vers des sites malveillants, modifier le contenu de la page web ou effectuer d'autres actions malveillantes au nom de l'utilisateur. Le risque est particulièrement élevé dans les applications où le contenu Markdown provient de sources non fiables, comme les commentaires des utilisateurs ou les données soumises via des formulaires. Une attaque réussie pourrait mener à un vol d'informations sensibles ou à la prise de contrôle du compte utilisateur.
Cette vulnérabilité a été rendue publique le 6 février 2025. Il n'y a pas d'indication d'une exploitation active à ce jour, mais la nature de la vulnérabilité XSS la rend potentiellement exploitable. Aucune entrée n'est encore présente dans le KEV de CISA. Des preuves de concept publiques sont susceptibles d'émerger rapidement compte tenu de la simplicité de l'exploitation.
Web applications built with Nuxt.js that utilize the @nuxtjs/mdc module for markdown rendering are at risk. This includes projects that allow user-generated content within markdown files, as attackers could inject malicious URLs through these channels. Shared hosting environments using older versions of @nuxtjs/mdc are particularly vulnerable.
• nodejs / supply-chain:
npm list @nuxtjs/mdc• nodejs / supply-chain:
grep -r 'https://github.com/nuxt-modules/mdc/blob/main/src/runtime/parser/utils/props.ts#L16' node_modules• generic web:
Inspect markdown content for URLs containing the javascript: protocol scheme. Monitor server logs for requests containing such URLs.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque @nuxtjs/mdc vers la version 0.13.3 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à désactiver temporairement le rendu Markdown ou à mettre en œuvre une validation stricte des URL dans le contenu Markdown. Il est également recommandé d'utiliser un Content Security Policy (CSP) pour limiter les sources de script autorisées, réduisant ainsi l'impact potentiel d'une attaque XSS. Après la mise à jour, vérifiez que le rendu Markdown fonctionne correctement et qu'aucune injection de script n'est possible en testant avec des URL contenant des schémas potentiellement malveillants.
Mettez à jour le module @nuxtjs/mdc à la version 0.13.3 ou supérieure. Cette version contient une correction pour la vulnérabilité XSS. Pour mettre à jour, exécutez `npm update @nuxtjs/mdc` ou `yarn upgrade @nuxtjs/mdc` dans votre projet.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-24981 is a critical XSS vulnerability in the @nuxtjs/mdc module, allowing attackers to inject JavaScript code through improperly parsed URLs in markdown content.
You are affected if you are using @nuxtjs/mdc versions prior to 0.13.3 and process user-supplied markdown content.
Upgrade to @nuxtjs/mdc version 0.13.3 or later. Implement input validation and sanitization as a temporary workaround.
No active exploits have been reported, but the high CVSS score suggests a high likelihood of exploitation if unpatched.
Refer to the official @nuxtjs/mdc repository and associated release notes for the advisory and detailed information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.