HIGHCVE-2024-34344CVSS 8.8

Nuxtは、ローカルでテストを実行中にブラウザ経由でリモートコード実行の脆弱性があります

Q: CVE-2024-34344 — RCE in Nuxtとは何ですか？

CVE-2024-34344は、Nuxtフレームワークの`NuxtTestComponentWrapper`コンポーネントにおけるリモートコード実行（RCE）脆弱性です。パスパラメータの検証不備により、攻撃者がサーバーサイドで任意のJavaScriptコードを実行できます。

Q: CVE-2024-34344 in Nuxtの影響はありますか？

Nuxtのバージョンが3.12.4以前を使用している場合、この脆弱性の影響を受けます。攻撃者はサーバーサイドで任意のJavaScriptコードを実行し、機密情報の窃取やシステムの改ざんを試みる可能性があります。

Q: CVE-2024-34344 in Nuxtを修正するにはどうすればよいですか？

Nuxtをバージョン3.12.4以降にアップデートすることで、この脆弱性を修正できます。アップデートが困難な場合は、一時的に`NuxtTestComponentWrapper`コンポーネントの使用を停止するか、入力パラメータの検証を厳格化してください。

Q: CVE-2024-34344に関するNuxtの公式アドバイザリはどこで確認できますか？

Nuxtの公式アドバイザリは、[https://github.com/nuxt/nuxt/security/advisories/CVE-2024-34344](https://github.com/nuxt/nuxt/security/advisories/CVE-2024-34344)で確認できます。

プラットフォーム

nodejs

コンポーネント

nuxt

修正版

3.4.1

3.12.4

AI Confidence: highNVDEPSS 1.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-34344は、NuxtフレームワークのNuxtTestComponentWrapperコンポーネントにおけるリモートコード実行（RCE）脆弱性です。この脆弱性は、パスパラメータの検証不備が原因で発生し、攻撃者がサーバーサイドで任意のJavaScriptコードを実行することを可能にします。影響を受けるバージョンはNuxt 3.12.4以前であり、3.12.4へのアップデートによって脆弱性が修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はNuxtTestComponentWrapperコンポーネントを通じてサーバーサイドで任意のJavaScriptコードを実行できます。これにより、機密情報の窃取、システムの改ざん、さらにはサーバー全体の制御権の奪取といった深刻な被害が発生する可能性があります。攻撃者は、テスト環境を悪用して、本番環境への侵入を試みることも考えられます。この脆弱性は、サーバーサイドのJavaScriptコードの実行を許可するため、攻撃の影響範囲は非常に広範であり、システム全体のセキュリティに重大な脅威をもたらします。

悪用の状況

この脆弱性は、2024年8月5日に公開されました。現時点では、公的に利用可能なエクスプロイトコードは確認されていませんが、脆弱性の性質上、悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。Nuxtフレームワークを利用している環境では、早急な対応が必要です。

リスク対象者翻訳中…

Applications utilizing Nuxt versions prior to 3.12.4 are at risk, particularly those exposing the NuxtTestComponentWrapper component to untrusted input. Development environments and staging servers running vulnerable versions are also high-priority targets. Teams using automated deployment pipelines should ensure the upgrade process is prioritized.

検出手順翻訳中…

• nodejs / server:

  ps aux | grep nuxt
  journalctl -u nuxt -f | grep "nuxt-root.vue"

• generic web:

  curl -I 'http://your-nuxt-app/path/to/vulnerable/component?path=evil.js' # Check for unusual response headers
  grep 'evil.js' /var/log/nginx/access.log # Look for requests containing malicious paths

攻撃タイムライン

2024-08-05Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

1.31% (80% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響total

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントnuxt

ベンダーosv

影響範囲修正版

>= 3.4.0 < 3.12.4 – >= 3.4.0 < 3.12.43.4.1

3.4.03.12.4

弱点分類 (CWE)

CWE-94

タイムライン

予約済み2024-05-02
公開日2024-08-05
更新日2024-11-18
EPSS 更新日2026-04-02

公開後-17日でパッチ適用

緩和策と回避策

この脆弱性への対応策として、Nuxtをバージョン3.12.4以降にアップデートすることを推奨します。アップデートが困難な場合は、NuxtTestComponentWrapperコンポーネントの使用を一時的に停止するか、入力パラメータの検証を厳格化するなどの回避策を講じる必要があります。また、Webアプリケーションファイアウォール（WAF）やリバースプロキシを導入し、悪意のあるリクエストを検知・遮断することも有効です。Nuxtのセキュリティに関する最新情報を常に確認し、適切な対策を講じることが重要です。

修正方法翻訳中…

Actualice Nuxt a la versión 3.12.4 o superior. Esta versión corrige la vulnerabilidad de ejecución remota de código. La actualización se puede realizar a través de npm o yarn, dependiendo de su gestor de paquetes.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-34344 — RCE in Nuxtとは何ですか？

CVE-2024-34344は、NuxtフレームワークのNuxtTestComponentWrapperコンポーネントにおけるリモートコード実行（RCE）脆弱性です。パスパラメータの検証不備により、攻撃者がサーバーサイドで任意のJavaScriptコードを実行できます。

CVE-2024-34344 in Nuxtの影響はありますか？