CVE-2024-23657は、Nuxt Devtoolsにおけるパス・トラバーサル脆弱性です。この脆弱性により、認証されていない攻撃者が機密情報を漏洩したり、さらなる攻撃を実行する可能性があります。影響を受けるバージョンは1.3.9以前です。バージョン1.3.9へのアップデートにより、この脆弱性は修正されています。
この脆弱性は、Nuxt DevtoolsのgetTextAssetContent RPC関数における認証の欠如とWebSocketハンドラにおけるOriginチェックの不備が原因で発生します。攻撃者は、ローカルで実行されているdevtoolsインスタンスと対話することで、ファイルシステムを探索し、機密情報を盗み出す可能性があります。さらに、認証トークンを漏洩させ、他のRPC関数を悪用してリモートコード実行(RCE)を達成する可能性も存在します。この脆弱性の悪用は、開発環境の機密情報の漏洩や、アプリケーション全体のセキュリティ侵害につながる可能性があります。
CVE-2024-23657は、2024年8月5日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、パス・トラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。CISA KEVカタログへの登録状況は不明です。公開されているPoCは確認されていません。
Development teams using Nuxt.js and relying on Nuxt Devtools for debugging and development are at risk. Specifically, those using older versions of Nuxt Devtools (≤ 1.3.9) and those with development environments exposed to untrusted networks are particularly vulnerable. Shared hosting environments where multiple developers share a single Nuxt Devtools instance also present an increased risk.
• nuxt: Examine WebSocket traffic for requests to the getTextAssetContent endpoint without proper authentication.
# Example using tcpdump (adjust interface and filter as needed)
tcpdump -i any -s 0 'tcp port 8080 and "getTextAssetContent"'• generic web: Monitor access logs for unusual file requests originating from the devtools WebSocket handler.
grep -i 'GET /_nuxt/devtools/getTextAssetContent' access.log• generic web: Check response headers for unexpected content types or error codes when accessing the getTextAssetContent endpoint.
• generic web: Inspect the Nuxt Devtools configuration for any exposed or insecure settings.
disclosure
エクスプロイト状況
EPSS
1.62% (82% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への主な対策は、Nuxt Devtoolsをバージョン1.3.9以降にアップデートすることです。アップデートが困難な場合は、一時的な回避策として、ネットワークレベルでdevtoolsインスタンスへのアクセスを制限するファイアウォールルールを実装することを検討してください。また、devtoolsインスタンスが実行されている環境のセキュリティを強化し、不要なポートを閉じ、アクセス制御を厳格化することも重要です。アップデート後、getTextAssetContent RPC関数が適切に認証されていることを確認してください。
Actualice Nuxt Devtools a la versión 1.3.9 o superior. Esta versión corrige la vulnerabilidad de path traversal y la falta de validación del origen en el WebSocket. La actualización evitará que atacantes remotos accedan a archivos arbitrarios y potencialmente ejecuten código en su sistema.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2024-23657は、Nuxt DevtoolsのgetTextAssetContent RPC関数における認証の欠如が原因で発生するパス・トラバーサル脆弱性です。攻撃者はこの脆弱性を悪用して、機密情報を漏洩したり、RCEを達成する可能性があります。
はい、Nuxt Devtoolsのバージョン1.3.9以前を使用している場合は、この脆弱性の影響を受けます。バージョン1.3.9以降にアップデートすることで、この脆弱性は修正されます。
この脆弱性を修正するには、Nuxt Devtoolsをバージョン1.3.9以降にアップデートしてください。アップデートが困難な場合は、一時的な回避策として、ネットワークレベルでdevtoolsインスタンスへのアクセスを制限するファイアウォールルールを実装することを検討してください。
現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、パス・トラバーサル脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。
Nuxt Devtoolsの公式アドバイザリは、[https://github.com/nuxt/devtools/security/advisories/CVE-2024-23657](https://github.com/nuxt/devtools/security/advisories/CVE-2024-23657)で確認できます。