Platform
nodejs
Component
@nuxt/icon
Opgelost in
1.4.6
1.4.5
CVE-2024-42352 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in de @nuxt/icon bibliotheek. Deze kwetsbaarheid stelt een aanvaller in staat om de host en het schema van verzoeken te manipuleren, wat kan leiden tot ongeautoriseerde toegang tot interne bronnen en potentieel gevoelige data. De kwetsbaarheid treft versies van @nuxt/icon die ouder zijn dan 1.4.5. Een patch is beschikbaar in versie 1.4.5.
De SSRF-kwetsbaarheid in @nuxt/icon maakt het mogelijk voor een aanvaller om verzoeken te sturen naar interne systemen die normaal gesproken niet toegankelijk zijn vanaf het publieke internet. Dit kan leiden tot het uitlezen van interne configuratiebestanden, het benaderen van interne API's en het verkrijgen van toegang tot gevoelige data. Een aanvaller kan bijvoorbeeld interne services blootleggen of proberen om authenticatie te omzeilen. De impact is aanzienlijk, omdat een succesvolle exploitatie kan leiden tot een compromis van de gehele applicatie en de onderliggende infrastructuur. Dit soort kwetsbaarheden kunnen vergelijkbare gevolgen hebben als die in andere SSRF-scenario's, waarbij interne systemen onbedoeld worden blootgesteld.
Op het moment van publicatie (2024-08-05) zijn er geen bekende actieve campagnes of public proof-of-concepts gerelateerd aan CVE-2024-42352. De kwetsbaarheid is opgenomen in het NVD (National Vulnerability Database) en wordt beschouwd als een hoog risico. De EPSS (Exploit Prediction Scoring System) score is nog niet bekend, maar gezien de eenvoud van de exploitatie en de potentiële impact, is een medium tot hoge waarschijnlijkheid van exploitatie te verwachten.
Applications using @nuxt/icon version 1.4.4 or earlier are at risk. This includes Nuxt.js projects relying on this component for icon management. Shared hosting environments where the application server has limited network access controls are particularly vulnerable, as an attacker could potentially leverage the SSRF to access other services on the same host.
• nodejs / server:
ps aux | grep _nuxt_icon• nodejs / server:
find / -name "_nuxt_icon/[name]" -type f 2>/dev/null• generic web:
curl -I http://your-nuxt-app.com/api/_nuxt_icon/malicious_urlInspect the response headers for unexpected hostnames or schemes.
disclosure
Exploit Status
EPSS
0.08% (25% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-42352 is het upgraden van @nuxt/icon naar versie 1.4.5 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het implementeren van een Web Application Firewall (WAF) of proxy die de URL-validatie uitvoert en pogingen tot het manipuleren van het schema en de host blokkeert. Controleer ook de configuratie van de applicatie om te verzekeren dat er geen onnodige interne services worden blootgesteld. Na de upgrade, verifieer de fix door een poging te doen om een verzoek naar een interne resource te sturen via de /api/nuxticon/[name] endpoint en controleer of dit wordt geblokkeerd.
Actualiseer het pakket `@nuxt/icon` naar versie 1.4.5 of hoger. Dit zal de SSRF-vulnerability oplossen. Voer `npm update @nuxt/icon` of `yarn upgrade @nuxt/icon` uit om het pakket te actualiseren.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-42352 is een Server-Side Request Forgery (SSRF) kwetsbaarheid in de @nuxt/icon bibliotheek, waardoor een aanvaller interne resources kan benaderen.
U bent mogelijk getroffen als u een versie van @nuxt/icon gebruikt die ouder is dan 1.4.5.
Upgrade @nuxt/icon naar versie 1.4.5 of hoger. Implementeer een WAF als een tijdelijke workaround.
Op dit moment zijn er geen bekende actieve exploitaties, maar de kwetsbaarheid wordt als hoog risico beschouwd.
Raadpleeg de officiële Nuxt.js documentatie en de @nuxt/icon repository voor updates en advisories.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.