Plateforme
nodejs
Composant
nuxt
Corrigé dans
3.6.1
4.0.1
3.19.0
Une vulnérabilité de traversal de chemin (Path Traversal) a été découverte dans Nuxt, affectant les versions antérieures à 3.19.0. Cette faille permet à un attaquant de manipuler les requêtes côté client pour accéder à des ressources non autorisées au sein de la même application. L'exploitation se produit lors de la revitalisation des payloads Nuxt Islands, lorsque des conditions de prerendering spécifiques sont remplies, offrant un accès potentiellement non autorisé.
L'impact principal de cette vulnérabilité réside dans la possibilité pour un attaquant d'accéder à des fichiers sensibles ou à des données confidentielles stockées sur le serveur. En manipulant les requêtes client, l'attaquant peut contourner les mécanismes de sécurité et accéder à des ressources auxquelles il ne devrait pas avoir accès. Cela pourrait inclure des fichiers de configuration, des données de session, ou d'autres informations sensibles. Bien que classée comme une vulnérabilité de faible sévérité, elle peut servir de point d'entrée pour des attaques plus complexes, notamment en combinaison avec d'autres vulnérabilités.
Cette vulnérabilité a été rendue publique le 17 septembre 2025. Il n'y a pas d'indications d'une exploitation active à ce jour. Bien qu'elle ne soit pas encore présente dans le catalogue KEV de CISA, sa nature de traversal de chemin pourrait la rendre intéressante pour les acteurs malveillants. Des preuves de concept publiques sont disponibles, ce qui pourrait faciliter l'exploitation par des attaquants moins expérimentés.
Applications built with Nuxt 3.18.0 or earlier are at risk. This includes projects utilizing the Island architecture and relying on user-controlled data within API responses. Shared hosting environments where Nuxt applications are deployed alongside other applications could also be affected if the vulnerability is exploited to gain access to other resources.
• nodejs / server:
find /path/to/nuxt/app -name 'revive-payload.client.ts' -print• nodejs / server:
grep -r '__nuxt_island' /path/to/nuxt/app• generic web:
Inspect API responses for the presence of serialized _nuxtisland objects. Examine access logs for unusual file requests or patterns indicative of path traversal attempts.
disclosure
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
CISA SSVC
Vecteur CVSS
La mitigation la plus efficace consiste à mettre à jour Nuxt vers la version 3.19.0 ou supérieure, qui corrige cette vulnérabilité. En attendant, des mesures d'atténuation peuvent être mises en place, telles que la validation stricte des entrées utilisateur et la restriction de l'accès aux ressources sensibles. L'utilisation d'un reverse proxy avec des règles de filtrage appropriées peut également aider à bloquer les tentatives d'exploitation. Après la mise à jour, vérifiez l'intégrité des fichiers et assurez-vous que les configurations de sécurité sont correctement appliquées.
Mettez à jour Nuxt à la version 3.19.0 ou supérieure, ou à la version 4.1.0 ou supérieure. Cela corrige la vulnérabilité de parcours de chemin dans le mécanisme de restauration des charges utiles de Nuxt Islands. La mise à jour peut être effectuée via npm ou yarn.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-59414 is a client-side path traversal vulnerability in Nuxt versions 3.18.0 and below, allowing attackers to access unauthorized endpoints.
If you are using Nuxt version 3.18.0 or earlier, you are potentially affected by this vulnerability.
Upgrade to Nuxt version 3.19.0 or later to remediate the vulnerability. Consider input validation as a temporary workaround.
There are currently no confirmed reports of active exploitation, but the vulnerability's nature suggests it could be exploited once a proof-of-concept is available.
Refer to the official Nuxt security advisory for detailed information and updates: [https://nuxt.com/security/CVE-2025-59414](https://nuxt.com/security/CVE-2025-59414)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.