Platform
nodejs
Component
nuxt
Opgelost in
3.4.1
3.12.4
CVE-2024-34344 is een kritieke Remote Code Execution (RCE) kwetsbaarheid in Nuxt, een populaire JavaScript framework voor het bouwen van universele applicaties. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige JavaScript-code uit te voeren op de server, wat kan leiden tot volledige controle over de applicatie. De kwetsbaarheid treedt op in de NuxtTestComponentWrapper component en beïnvloedt versies van Nuxt tussen 3.0.0 en 3.12.4. Een upgrade naar versie 3.12.4 of hoger is vereist om de kwetsbaarheid te verhelpen.
De impact van deze RCE kwetsbaarheid is significant. Een succesvolle exploitatie kan een aanvaller volledige controle geven over de server waarop de Nuxt-applicatie draait. Dit omvat de mogelijkheid om gevoelige data te stelen, malware te installeren, de applicatie te manipuleren en zelfs de server te gebruiken voor verdere aanvallen op andere systemen. De kwetsbaarheid is te vinden in de manier waarop de NuxtTestComponentWrapper component paden laadt en rendert, waardoor een aanvaller kwaadaardige code kan injecteren en uitvoeren. Dit is vergelijkbaar met andere RCE kwetsbaarheden waarbij input niet correct wordt gevalideerd, waardoor code-injectie mogelijk is.
CVE-2024-34344 is openbaar bekend en de details van de kwetsbaarheid zijn beschikbaar. Er is momenteel geen informatie over actieve campagnes die deze specifieke kwetsbaarheid exploiteren, maar de publicatie van de details maakt het waarschijnlijk dat er in de toekomst exploits beschikbaar komen. De kwetsbaarheid is gepubliceerd op 2024-08-05. Het is aan te raden om de situatie te monitoren en proactieve maatregelen te nemen om de risico's te minimaliseren.
Applications utilizing Nuxt versions prior to 3.12.4 are at risk, particularly those exposing the NuxtTestComponentWrapper component to untrusted input. Development environments and staging servers running vulnerable versions are also high-priority targets. Teams using automated deployment pipelines should ensure the upgrade process is prioritized.
• nodejs / server:
ps aux | grep nuxt
journalctl -u nuxt -f | grep "nuxt-root.vue"• generic web:
curl -I 'http://your-nuxt-app/path/to/vulnerable/component?path=evil.js' # Check for unusual response headers
grep 'evil.js' /var/log/nginx/access.log # Look for requests containing malicious pathsdisclosure
Exploit Status
EPSS
1.31% (80% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-34344 is het upgraden van Nuxt naar versie 3.12.4 of hoger. Deze versie bevat een correctie die de onvoldoende validatie van de 'path' parameter aanpakt. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de toegang tot de NuxtTestComponentWrapper component, of het implementeren van strenge inputvalidatie op de server-side. Controleer ook of er web application firewall (WAF) regels kunnen worden toegepast om verdachte requests te blokkeren. Na de upgrade, verifieer de fix door een test uit te voeren die de kwetsbare code probeert te exploiteren en controleer of deze nu wordt geblokkeerd.
Actualice Nuxt a la versión 3.12.4 o superior. Esta versión corrige la vulnerabilidad de ejecución remota de código. La actualización se puede realizar a través de npm o yarn, dependiendo de su gestor de paquetes.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-34344 is a Remote Code Execution vulnerability in Nuxt, allowing attackers to execute arbitrary JavaScript on the server due to insufficient path validation in the NuxtTestComponentWrapper component.
You are affected if you are using Nuxt versions prior to 3.12.4. Assess your Nuxt deployment to determine if it is vulnerable.
Upgrade to Nuxt version 3.12.4 or later to resolve the vulnerability. If immediate upgrade is not possible, implement WAF rules and restrict access to the vulnerable component.
While no active exploitation has been confirmed, the ease of exploitation suggests a high probability of exploitation in the near future.
Refer to the official Nuxt security advisory for detailed information and updates: https://github.com/nuxt/nuxt/security/advisories/CVE-2024-34344
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.