Platform
nodejs
Component
@nuxtjs/mdc
Opgelost in
0.13.4
0.13.3
CVE-2025-24981 is een kritieke Cross-Site Scripting (XSS) kwetsbaarheid in het @nuxtjs/mdc module. Deze kwetsbaarheid ontstaat door een onveilige parsing van URL's die in Markdown-content voorkomen, waardoor een aanvaller potentieel willekeurige JavaScript code kan uitvoeren. De kwetsbaarheid treft versies van @nuxtjs/mdc die vóór 0.13.3 zijn uitgebracht. Een update naar versie 0.13.3 of hoger is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van CVE-2025-24981 kan leiden tot het stelen van gevoelige informatie, zoals cookies en sessiegegevens, en het manipuleren van de gebruikersinterface van de website. Een aanvaller kan kwaadaardige scripts injecteren die worden uitgevoerd in de context van de gebruiker, waardoor de aanvaller de controle over de browser kan overnemen. Dit kan resulteren in phishing-aanvallen, accountovername en verdere compromittering van het systeem. De impact is aanzienlijk, aangezien de kwetsbaarheid zich in een Markdown parser bevindt, wat vaak wordt gebruikt voor het weergeven van gebruikersgegenereerde content.
Op dit moment is er geen publieke exploitatie van CVE-2025-24981 bekend. De kwetsbaarheid is openbaar gemaakt op 2025-02-06. De CVSS-score is 9.3 (CRITICAL), wat aangeeft dat de kwetsbaarheid ernstig is en een hoog risico vormt. Er is geen vermelding op de CISA KEV catalogus op het moment van schrijven. Er zijn geen bekende actieve campagnes die deze kwetsbaarheid uitbuiten.
Web applications built with Nuxt.js that utilize the @nuxtjs/mdc module for markdown rendering are at risk. This includes projects that allow user-generated content within markdown files, as attackers could inject malicious URLs through these channels. Shared hosting environments using older versions of @nuxtjs/mdc are particularly vulnerable.
• nodejs / supply-chain:
npm list @nuxtjs/mdc• nodejs / supply-chain:
grep -r 'https://github.com/nuxt-modules/mdc/blob/main/src/runtime/parser/utils/props.ts#L16' node_modules• generic web:
Inspect markdown content for URLs containing the javascript: protocol scheme. Monitor server logs for requests containing such URLs.
disclosure
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2025-24981 is het upgraden van het @nuxtjs/mdc module naar versie 0.13.3 of hoger. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het valideren en saneren van alle URL's die in Markdown-content worden gebruikt. Dit kan worden gedaan door een whitelist van toegestane protocollen te implementeren en alle andere protocollen te blokkeren. Daarnaast kan het gebruik van een Content Security Policy (CSP) helpen om de impact van XSS-aanvallen te beperken door de bronnen te beperken waaruit scripts kunnen worden geladen. Na de upgrade, controleer de Markdown rendering om er zeker van te zijn dat URL's correct worden verwerkt en er geen onverwachte scripts worden uitgevoerd.
Werk de module @nuxtjs/mdc bij naar versie 0.13.3 of hoger. Deze versie bevat een correctie voor de XSS-kwetsbaarheid. Om bij te werken, voer `npm update @nuxtjs/mdc` of `yarn upgrade @nuxtjs/mdc` uit in uw project.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-24981 is a critical XSS vulnerability in the @nuxtjs/mdc module, allowing attackers to inject JavaScript code through improperly parsed URLs in markdown content.
You are affected if you are using @nuxtjs/mdc versions prior to 0.13.3 and process user-supplied markdown content.
Upgrade to @nuxtjs/mdc version 0.13.3 or later. Implement input validation and sanitization as a temporary workaround.
No active exploits have been reported, but the high CVSS score suggests a high likelihood of exploitation if unpatched.
Refer to the official @nuxtjs/mdc repository and associated release notes for the advisory and detailed information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.