प्लेटफ़ॉर्म
nodejs
घटक
nuxt
में ठीक किया गया
3.6.1
4.0.1
3.19.0
CVE-2025-59414 Nuxt में एक क्लाइंट-साइड पथ पारगमन भेद्यता है। यह भेद्यता हमलावरों को विशिष्ट प्री-रेंडरिंग स्थितियों के तहत, समान एप्लिकेशन डोमेन के भीतर विभिन्न एंडपॉइंट्स के लिए क्लाइंट-साइड अनुरोधों में हेरफेर करने की अनुमति देती है। यह भेद्यता Nuxt के Island पेलोड पुनर्जीवन तंत्र में पाई गई है और 3.18.0 से पहले के संस्करणों को प्रभावित करती है। 3.19.0 में इस समस्या का समाधान किया गया है।
यह भेद्यता हमलावरों को संवेदनशील फ़ाइलों तक अनधिकृत पहुँच प्राप्त करने की अनुमति दे सकती है, जो संभावित रूप से संवेदनशील डेटा के प्रकटीकरण या सिस्टम के समझौता करने का कारण बन सकती है। हमलावर आंतरिक संसाधनों तक पहुँचने के लिए पथ पारगमन का उपयोग कर सकते हैं, जैसे कि कॉन्फ़िगरेशन फ़ाइलें या स्रोत कोड, जो आगे के हमलों के लिए जानकारी प्रदान कर सकते हैं। चूंकि यह एक क्लाइंट-साइड भेद्यता है, इसलिए इसका प्रभाव सर्वर-साइड भेद्यताओं की तुलना में कम हो सकता है, लेकिन यह अभी भी महत्वपूर्ण है क्योंकि यह हमलावरों को एप्लिकेशन के भीतर संवेदनशील डेटा तक पहुँचने की अनुमति दे सकता है।
CVE-2025-59414 को अभी तक KEV में जोड़ा नहीं गया है। EPSS स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) अभी तक ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण, सक्रिय शोषण की संभावना है। यह भेद्यता 2025-09-17 को प्रकाशित हुई थी।
Applications built with Nuxt 3.18.0 or earlier are at risk. This includes projects utilizing the Island architecture and relying on user-controlled data within API responses. Shared hosting environments where Nuxt applications are deployed alongside other applications could also be affected if the vulnerability is exploited to gain access to other resources.
• nodejs / server:
find /path/to/nuxt/app -name 'revive-payload.client.ts' -print• nodejs / server:
grep -r '__nuxt_island' /path/to/nuxt/app• generic web:
Inspect API responses for the presence of serialized _nuxtisland objects. Examine access logs for unusual file requests or patterns indicative of path traversal attempts.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (15% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2025-59414 को कम करने के लिए, Nuxt के नवीनतम संस्करण में अपग्रेड करना महत्वपूर्ण है, जो 3.19.0 है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग कर सकते हैं ताकि पथ पारगमन हमलों को ब्लॉक किया जा सके। WAF नियमों को उन अनुरोधों को फ़िल्टर करने के लिए कॉन्फ़िगर किया जाना चाहिए जिनमें असामान्य पथ शामिल हैं या जो संवेदनशील फ़ाइलों तक पहुँचने का प्रयास करते हैं। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करना भी मदद कर सकता है ताकि यह सुनिश्चित किया जा सके कि उपयोगकर्ता-नियंत्रित डेटा को सुरक्षित रूप से संभाला जाए।
Nuxt को संस्करण 3.19.0 या उच्चतर, या संस्करण 4.1.0 या उच्चतर में अपडेट करें। यह Nuxt Islands के payload revival तंत्र में path traversal भेद्यता को ठीक करता है। अपडेट npm या yarn के माध्यम से किया जा सकता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-59414 Nuxt के Island पेलोड पुनर्जीवन तंत्र में एक क्लाइंट-साइड पथ पारगमन भेद्यता है, जो हमलावरों को आंतरिक फ़ाइलों तक पहुँचने की अनुमति देती है।
यदि आप Nuxt के 3.18.0 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2025-59414 को ठीक करने के लिए, Nuxt के नवीनतम संस्करण में अपग्रेड करें, जो 3.19.0 है।
CVE-2025-59414 के सक्रिय शोषण का कोई ज्ञात प्रमाण नहीं है, लेकिन भेद्यता की प्रकृति के कारण, सक्रिय शोषण की संभावना है।
आप आधिकारिक Nuxt सलाहकार CVE-2025-59414 के लिए Nuxt वेबसाइट पर पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।