CRITICALCVE-2025-24981CVSS 9.3

@nuxtjs/mdc に提供された Markdown で解析される HTML アンカーリンクは、XSS を引き起こす可能性があります。

Q: CVE-2025-24981 — XSS in @nuxtjs/mdcとは何ですか？

CVE-2025-24981は、@nuxtjs/mdcのURL解析処理におけるクロスサイトスクリプティング（XSS）脆弱性です。Markdown内のURLからJavaScriptコードを実行される可能性があります。

Q: CVE-2025-24981 in @nuxtjs/mdcの影響はありますか？

はい、バージョン0.13.3以前を使用している場合、影響を受けます。攻撃者は悪意のあるJavaScriptコードを注入し、機密情報を盗み出す可能性があります。

Q: CVE-2025-24981 in @nuxtjs/mdcを修正するにはどうすればよいですか？

@nuxtjs/mdcをバージョン0.13.3以上にアップデートしてください。アップデートが困難な場合は、WAFやプロキシサーバーを導入し、URLのフィルタリングを強化してください。

Q: CVE-2025-24981は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、XSS脆弱性であるため、悪用コードが公開される可能性はあります。

Q: CVE-2025-24981に関する@nuxtjs/mdcの公式アドバイザリはどこで確認できますか？

公式アドバイザリは、@nuxtjs/mdcのGitHubリポジトリで確認できます。https://github.com/nuxt-modules/mdc

プラットフォーム

nodejs

コンポーネント

@nuxtjs/mdc

修正版

0.13.4

0.13.3

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-24981は、@nuxtjs/mdcにおいてMarkdownのURL解析処理に存在するクロスサイトスクリプティング（XSS）脆弱性です。この脆弱性は、URL内のjavascript:プロトコルスキームを適切に検証しないために発生し、攻撃者が悪意のあるJavaScriptコードを挿入し、実行させることが可能になります。影響を受けるバージョンは0.13.3以前であり、0.13.3へのアップデートで脆弱性が修正されています。

影響と攻撃シナリオ

このXSS脆弱性は、攻撃者がMarkdownコンテンツを介して悪意のあるJavaScriptコードをWebサイトに注入することを可能にします。これにより、攻撃者はユーザーのブラウザ上で任意のコードを実行し、Cookie、セッション情報、その他の機密情報を盗み出す可能性があります。さらに、攻撃者はユーザーを悪意のあるWebサイトにリダイレクトしたり、Webサイトの見た目を改ざんしたりすることも可能です。この脆弱性の悪用は、Webサイトの信頼性を損ない、ユーザーに深刻な被害をもたらす可能性があります。類似のXSS脆弱性は、Webサイトのセキュリティを著しく低下させる要因となります。

悪用の状況

この脆弱性は、2025年2月6日に公開されました。現時点では、公開されているPoC（Proof of Concept）は確認されていませんが、XSS脆弱性であるため、悪用コードが公開される可能性はあります。CISA KEVへの登録状況は不明ですが、CRITICALな脆弱性であるため、注意が必要です。攻撃者による悪用が確認された場合、迅速な対応が必要です。

リスク対象者翻訳中…

Web applications built with Nuxt.js that utilize the @nuxtjs/mdc module for markdown rendering are at risk. This includes projects that allow user-generated content within markdown files, as attackers could inject malicious URLs through these channels. Shared hosting environments using older versions of @nuxtjs/mdc are particularly vulnerable.

検出手順翻訳中…

• nodejs / supply-chain:

  npm list @nuxtjs/mdc

• nodejs / supply-chain:

  grep -r 'https://github.com/nuxt-modules/mdc/blob/main/src/runtime/parser/utils/props.ts#L16' node_modules

• generic web: Inspect markdown content for URLs containing the javascript: protocol scheme. Monitor server logs for requests containing such URLs.

攻撃タイムライン

2025-02-06Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.03% (8% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネント@nuxtjs/mdc

ベンダーosv

影響範囲修正版

< 0.13.3 – < 0.13.30.13.4

—0.13.3

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2025-01-29
公開日2025-02-06
更新日2025-02-13
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への対応策として、まず@nuxtjs/mdcをバージョン0.13.3以上にアップデートすることを推奨します。アップデートが困難な場合は、URLのフィルタリングを強化するWAF（Web Application Firewall）やプロキシサーバーを導入し、javascript:プロトコルスキームを含むURLをブロックすることを検討してください。また、Markdownコンテンツの入力を厳密に検証し、サニタイズ処理を徹底することで、攻撃のリスクを軽減できます。アップデート後、アプリケーションをテストし、脆弱性が解消されていることを確認してください。

修正方法

@nuxtjs/mdc モジュールをバージョン 0.13.3 以降にアップデートしてください。このバージョンには、XSS の脆弱性に対する修正が含まれています。アップデートするには、プロジェクトで `npm update @nuxtjs/mdc` または `yarn upgrade @nuxtjs/mdc` を実行してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-24981 — XSS in @nuxtjs/mdcとは何ですか？