Markdown में प्रदान किए गए पार्स किए गए HTML एंकर लिंक @nuxtjs/mdc में XSS का कारण बन सकते हैं

यह XSS भेद्यता हमलावरों को पीड़ित उपयोगकर्ताओं के ब्राउज़र में दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है। यह स्क्रिप्ट उपयोगकर्ता डेटा चुरा सकती है, सत्र कुकीज़ को हाईजैक कर सकती है, या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर पुनर्निर्देशित कर सकती है। चूंकि भेद्यता URL पार्सिंग से संबंधित है, इसलिए हमलावर विशेष रूप से डिज़ाइन किए गए URL को शामिल करके इस भेद्यता का फायदा उठा सकते हैं, जो तब @nuxtjs/mdc द्वारा संसाधित किया जाता है। इस भेद्यता का उपयोग फ़िशिंग हमलों, खाता अधिग्रहण और अन्य दुर्भावनापूर्ण गतिविधियों को करने के लिए किया जा सकता है।

Web applications built with Nuxt.js that utilize the @nuxtjs/mdc module for markdown rendering are at risk. This includes projects that allow user-generated content within markdown files, as attackers could inject malicious URLs through these channels. Shared hosting environments using older versions of @nuxtjs/mdc are particularly vulnerable.

• nodejs / supply-chain:

  npm list @nuxtjs/mdc

• nodejs / supply-chain:

  grep -r 'https://github.com/nuxt-modules/mdc/blob/main/src/runtime/parser/utils/props.ts#L16' node_modules

• generic web: Inspect markdown content for URLs containing the javascript: protocol scheme. Monitor server logs for requests containing such URLs.

1. 2025-02-06Disclosure

   disclosure

1. आरक्षित2025-01-29
2. प्रकाशित2025-02-06
3. संशोधित2025-02-13
4. EPSS अद्यतन2026-04-02

इस भेद्यता को कम करने का प्राथमिक तरीका @nuxtjs/mdc को संस्करण 0.13.3 या बाद के संस्करण में अपग्रेड करना है। यदि अपग्रेड करना तत्काल संभव नहीं है, तो एक अस्थायी समाधान के रूप में, इनपुट को मान्य करने और सैनिटाइज करने के लिए अतिरिक्त सुरक्षा उपाय लागू किए जा सकते हैं। यह सुनिश्चित करें कि सभी URL इनपुट को ठीक से फ़िल्टर किया गया है और दुर्भावनापूर्ण स्क्रिप्ट को रोकने के लिए उचित एन्कोडिंग का उपयोग किया गया है। वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग भी URL में दुर्भावनापूर्ण पैटर्न का पता लगाने और ब्लॉक करने के लिए किया जा सकता है।