मुफ्त स्कैन करें
LOWCVE-2025-59414CVSS 3.1

Nuxt में Nuxt Island Payload Revival में Client-Side Path Traversal है

प्लेटफ़ॉर्म

nodejs

घटक

nuxt

में ठीक किया गया

3.6.1

4.0.1

3.19.0

AI Confidence: highNVDEPSS 0.0%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2025-59414 Nuxt में एक क्लाइंट-साइड पथ पारगमन भेद्यता है। यह भेद्यता हमलावरों को विशिष्ट प्री-रेंडरिंग स्थितियों के तहत, समान एप्लिकेशन डोमेन के भीतर विभिन्न एंडपॉइंट्स के लिए क्लाइंट-साइड अनुरोधों में हेरफेर करने की अनुमति देती है। यह भेद्यता Nuxt के Island पेलोड पुनर्जीवन तंत्र में पाई गई है और 3.18.0 से पहले के संस्करणों को प्रभावित करती है। 3.19.0 में इस समस्या का समाधान किया गया है।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को संवेदनशील फ़ाइलों तक अनधिकृत पहुँच प्राप्त करने की अनुमति दे सकती है, जो संभावित रूप से संवेदनशील डेटा के प्रकटीकरण या सिस्टम के समझौता करने का कारण बन सकती है। हमलावर आंतरिक संसाधनों तक पहुँचने के लिए पथ पारगमन का उपयोग कर सकते हैं, जैसे कि कॉन्फ़िगरेशन फ़ाइलें या स्रोत कोड, जो आगे के हमलों के लिए जानकारी प्रदान कर सकते हैं। चूंकि यह एक क्लाइंट-साइड भेद्यता है, इसलिए इसका प्रभाव सर्वर-साइड भेद्यताओं की तुलना में कम हो सकता है, लेकिन यह अभी भी महत्वपूर्ण है क्योंकि यह हमलावरों को एप्लिकेशन के भीतर संवेदनशील डेटा तक पहुँचने की अनुमति दे सकता है।

शोषण संदर्भ

CVE-2025-59414 को अभी तक KEV में जोड़ा नहीं गया है। EPSS स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, सक्रिय शोषण की संभावना है। यह भेद्यता 2025-09-17 को प्रकाशित हुई थी।

कौन जोखिम में हैअनुवाद हो रहा है…

Applications built with Nuxt 3.18.0 or earlier are at risk. This includes projects utilizing the Island architecture and relying on user-controlled data within API responses. Shared hosting environments where Nuxt applications are deployed alongside other applications could also be affected if the vulnerability is exploited to gain access to other resources.

पहचान के चरणअनुवाद हो रहा है…

• nodejs / server:

  find /path/to/nuxt/app -name 'revive-payload.client.ts' -print

• nodejs / server:

  grep -r '__nuxt_island' /path/to/nuxt/app

• generic web: Inspect API responses for the presence of serialized _nuxtisland objects. Examine access logs for unusual file requests or patterns indicative of path traversal attempts.

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च

EPSS

0.05% (15% शतमक)

CISA SSVC

शोषणnone
स्वचालनीयno
तकनीकी प्रभावpartial

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:L/I:N/A:N3.1LOWAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityHighशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionRequiredक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityLowसंवेदनशील डेटा उजागर होने का जोखिमIntegrityNoneअनधिकृत डेटा संशोधन का जोखिमAvailabilityNoneसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
उच्च — रेस कंडीशन, गैर-डिफ़ॉल्ट कॉन्फ़िगरेशन या विशिष्ट परिस्थितियों की आवश्यकता।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
आवश्यक — पीड़ित को फ़ाइल खोलनी, लिंक पर क्लिक करना या पेज पर जाना होगा।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
निम्न — कुछ डेटा तक आंशिक पहुंच।
Integrity
कोई नहीं — अखंडता पर कोई प्रभाव नहीं।
Availability
कोई नहीं — उपलब्धता पर कोई प्रभाव नहीं।

प्रभावित सॉफ्टवेयर

घटकnuxt
विक्रेताosv
प्रभावित श्रेणीमें ठीक किया गया
>= 3.6.0 < 3.19.0 – >= 3.6.0 < 3.19.03.6.1
>= 4.0.0 < 4.1.0 – >= 4.0.0 < 4.1.04.0.1
3.6.03.19.0

पैकेज जानकारी

अंतिम अपडेट
4.4.6हाल ही में

कमजोरी वर्गीकरण (CWE)

CWE-22

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन
प्रकाशन के -14 दिन बाद पैच

शमन और वर्कअराउंड

CVE-2025-59414 को कम करने के लिए, Nuxt के नवीनतम संस्करण में अपग्रेड करना महत्वपूर्ण है, जो 3.19.0 है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं ताकि पथ पारगमन हमलों को ब्लॉक किया जा सके। WAF नियमों को उन अनुरोधों को फ़िल्टर करने के लिए कॉन्फ़िगर किया जाना चाहिए जिनमें असामान्य पथ शामिल हैं या जो संवेदनशील फ़ाइलों तक पहुँचने का प्रयास करते हैं। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करना भी मदद कर सकता है ताकि यह सुनिश्चित किया जा सके कि उपयोगकर्ता-नियंत्रित डेटा को सुरक्षित रूप से संभाला जाए।

कैसे ठीक करें

Nuxt को संस्करण 3.19.0 या उच्चतर, या संस्करण 4.1.0 या उच्चतर में अपडेट करें। यह Nuxt Islands के payload revival तंत्र में path traversal भेद्यता को ठीक करता है। अपडेट npm या yarn के माध्यम से किया जा सकता है।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2025-59414 — पथ पारगमन Nuxt में क्या है?

CVE-2025-59414 Nuxt के Island पेलोड पुनर्जीवन तंत्र में एक क्लाइंट-साइड पथ पारगमन भेद्यता है, जो हमलावरों को आंतरिक फ़ाइलों तक पहुँचने की अनुमति देती है।

क्या मैं CVE-2025-59414 में Nuxt से प्रभावित हूँ?

यदि आप Nuxt के 3.18.0 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2025-59414 में Nuxt को कैसे ठीक करूँ?

CVE-2025-59414 को ठीक करने के लिए, Nuxt के नवीनतम संस्करण में अपग्रेड करें, जो 3.19.0 है।

क्या CVE-2025-59414 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2025-59414 के सक्रिय शोषण का कोई ज्ञात प्रमाण नहीं है, लेकिन भेद्यता की प्रकृति के कारण, सक्रिय शोषण की संभावना है।

मैं CVE-2025-59414 के लिए आधिकारिक Nuxt सलाहकार कहाँ पा सकता हूँ?

आप आधिकारिक Nuxt सलाहकार CVE-2025-59414 के लिए Nuxt वेबसाइट पर पा सकते हैं।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें