LOWCVE-2025-59414CVSS 3.1

Nuxt には Nuxt Island Payload Revival におけるクライアントサイドのパス・トラバーサル脆弱性があります

Q: CVE-2025-59414 — パストラバーサルはNuxtで何ですか？

CVE-2025-59414は、NuxtのIslandペイロードリバイバルメカニズムにおけるパストラバーサル脆弱性です。攻撃者は、この脆弱性を悪用して、本来アクセスできないエンドポイントにアクセスできる可能性があります。

Q: CVE-2025-59414でNuxtを使用していますか？

Nuxtのバージョンが3.19.0より前である場合、この脆弱性の影響を受ける可能性があります。バージョンを確認し、必要に応じてアップデートしてください。

Q: CVE-2025-59414でNuxtを修正するにはどうすればよいですか？

Nuxtをバージョン3.19.0以降にアップデートすることで、この脆弱性を修正できます。アップデートできない場合は、WAFなどの対策を検討してください。

Q: CVE-2025-59414のNuxt公式アドバイザリはどこで入手できますか？

Nuxtの公式アドバイザリは、Nuxtのリリースノートやセキュリティアナウンスメントで確認できます。

プラットフォーム

nodejs

コンポーネント

nuxt

修正版

3.6.1

4.0.1

3.19.0

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-59414は、JavaScriptフレームワークNuxtのIslandペイロードリバイバルメカニズムにおけるパストラバーサル脆弱性です。この脆弱性を悪用されると、攻撃者はクライアント側のリクエストを操作し、本来アクセスできないはずの他のエンドポイントにアクセスできるようになります。影響を受けるバージョンは3.19.0より前のNuxtです。3.19.0へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性は、攻撃者がNuxtアプリケーション内の他のエンドポイントに不正にアクセスすることを可能にします。例えば、機密情報を含むAPIエンドポイントや、管理者権限を必要とする機能にアクセスできる可能性があります。攻撃者は、プリレンダリング中にAPIエンドポイントから返されるユーザー制御データ内の_nuxtislandオブジェクトを操作することで、この脆弱性を悪用します。これにより、アプリケーションのセキュリティが損なわれ、機密情報の漏洩や不正な操作につながる可能性があります。この脆弱性の悪用は、アプリケーションの信頼性を大きく損なう可能性があります。

悪用の状況

この脆弱性は、2025年9月17日に公開されました。現時点では、公開されているPoCは確認されていませんが、パストラバーサル脆弱性であるため、悪用される可能性はあります。CISA KEVカタログへの登録状況は不明です。NVD（National Vulnerability Database）の情報も確認してください。

リスク対象者翻訳中…

Applications built with Nuxt 3.18.0 or earlier are at risk. This includes projects utilizing the Island architecture and relying on user-controlled data within API responses. Shared hosting environments where Nuxt applications are deployed alongside other applications could also be affected if the vulnerability is exploited to gain access to other resources.

検出手順翻訳中…

• nodejs / server:

  find /path/to/nuxt/app -name 'revive-payload.client.ts' -print

• nodejs / server:

  grep -r '__nuxt_island' /path/to/nuxt/app

• generic web: Inspect API responses for the presence of serialized _nuxtisland objects. Examine access logs for unusual file requests or patterns indicative of path traversal attempts.

攻撃タイムライン

2025-09-17Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.05% (15% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントnuxt

ベンダーosv

影響範囲修正版

>= 3.6.0 < 3.19.0 – >= 3.6.0 < 3.19.03.6.1

>= 4.0.0 < 4.1.0 – >= 4.0.0 < 4.1.04.0.1

3.6.03.19.0

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2025-09-15
公開日2025-09-17
更新日2025-09-18
EPSS 更新日2026-03-23

公開後-14日でパッチ適用

緩和策と回避策

この脆弱性への最も効果的な対策は、Nuxtをバージョン3.19.0以降にアップデートすることです。アップデートできない場合は、WAF（Web Application Firewall）を使用して、悪意のあるリクエストをブロックすることを検討してください。また、入力の検証を強化し、ユーザーからの入力を適切にサニタイズすることで、攻撃のリスクを軽減できます。アプリケーションのログを監視し、異常なアクセスパターンを検出することも重要です。

修正方法

Nuxt をバージョン 3.19.0 以降、またはバージョン 4.1.0 以降にアップデートしてください。これにより、Nuxt Islands の payload revival メカニズムにおけるパス・トラバーサル脆弱性が修正されます。アップデートは npm または yarn を通じて実行できます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-59414 — パストラバーサルはNuxtで何ですか？