Gratis scannen

Deze pagina is nog niet vertaald naar uw taal. We werken eraan — de inhoud wordt voorlopig in het Engels weergegeven.

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

MEDIUMCVE-2025-52662CVSS 6.9

CVE-2025-52662: XSS in Nuxt Devtools

Platform

nuxt

Component

@nuxt/devtools

Opgelost in

2.6.4

Bekijk op NVD
Opslaan
Wordt vertaald naar uw taal…

CVE-2025-52662 describes a cross-site scripting (XSS) vulnerability discovered in Nuxt Devtools. This flaw could potentially allow an attacker to extract Nuxt authentication tokens under specific configurations. The vulnerability impacts versions 2.6.3–2.6.3 of Nuxt Devtools, and a fix is available in version 2.6.4.

Impact en Aanvalsscenarioswordt vertaald…

Successful exploitation of this XSS vulnerability could lead to the unauthorized extraction of Nuxt authentication tokens. These tokens grant access to sensitive data and functionalities within the Nuxt.js application. An attacker could leverage these tokens to impersonate legitimate users, access restricted resources, and potentially compromise the entire application. The impact is particularly severe for applications relying on Nuxt Devtools for debugging and development workflows, as attackers could inject malicious scripts during development or testing phases.

Uitbuitingscontextwordt vertaald…

CVE-2025-52662 was published on 2025-11-07. The vulnerability's impact is considered Medium, with a CVSS score of 6.9. No public proof-of-concept exploits are currently known, and there are no reports of active campaigns targeting this vulnerability. Refer to the official Nuxt.js advisory for more details: https://vercel.com/changelog/cve-2025-52662-xss-on-nuxt-devtools.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingHoog

EPSS

0.04% (13% percentiel)

CISA SSVC

Exploitatienone
Automatiseerbaarno
Technische Impactpartial

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:H/A:N6.9MEDIUMAttack VectorNetworkHoe de aanvaller het doel bereiktAttack ComplexityHighVereiste omstandigheden om te exploiterenPrivileges RequiredNoneVereist authenticatieniveau voor aanvalUser InteractionRequiredOf het slachtoffer actie moet ondernemenScopeChangedImpact buiten het getroffen onderdeelConfidentialityLowRisico op blootstelling van gevoelige dataIntegrityHighRisico op ongeautoriseerde gegevenswijzigingAvailabilityNoneRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
Attack Complexity
Hoog — vereist een race condition, niet-standaard configuratie of specifieke omstandigheden.
Privileges Required
Geen — geen authenticatie vereist om te exploiteren.
User Interaction
Vereist — slachtoffer moet een bestand openen, op een link klikken of een pagina bezoeken.
Scope
Gewijzigd — aanval kan voorbij het kwetsbare component uitbreiden naar andere systemen.
Confidentiality
Laag — gedeeltelijke toegang tot enkele gegevens.
Integrity
Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
Availability
Geen — geen beschikbaarheidsimpact.

Getroffen Software

Component@nuxt/devtools
LeverancierVercel
Minimumversie2.6.3
Maximumversie2.6.3
Opgelost in2.6.4

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd
  3. Gewijzigd
  4. EPSS bijgewerkt

Mitigatie en Workaroundswordt vertaald…

The primary mitigation for CVE-2025-52662 is to immediately upgrade Nuxt Devtools to version 2.6.4 or later. If upgrading is not feasible due to compatibility issues or breaking changes, consider temporarily disabling or restricting access to Nuxt Devtools in production environments. While a direct WAF rule is unlikely to be effective against this XSS, carefully reviewing and sanitizing all user inputs within the Nuxt.js application remains a crucial defense-in-depth measure. After upgrading, verify the fix by attempting to trigger the vulnerable functionality and confirming that the authentication token is not exposed.

Hoe te verhelpenwordt vertaald…

Actualice Nuxt Devtools a la versión 2.6.4 o superior. Esto solucionará la vulnerabilidad XSS que permite la extracción de tokens de autenticación. Puede actualizar el paquete utilizando npm o yarn.

Veelgestelde vragenwordt vertaald…

What is CVE-2025-52662 — XSS in Nuxt Devtools?

CVE-2025-52662 is a cross-site scripting (XSS) vulnerability affecting Nuxt Devtools versions 2.6.3–2.6.3. It allows potential extraction of Nuxt auth tokens under specific configurations.

Am I affected by CVE-2025-52662 in Nuxt Devtools?

If you are using Nuxt Devtools version 2.6.3–2.6.3, you are potentially affected. Upgrade to version 2.6.4 or later to mitigate the risk.

How do I fix CVE-2025-52662 in Nuxt Devtools?

The recommended fix is to upgrade Nuxt Devtools to version 2.6.4 or a later version. If upgrading is not immediately possible, consider temporarily restricting access to Nuxt Devtools.

Is CVE-2025-52662 being actively exploited?

As of the current assessment, there are no reports of active exploitation campaigns targeting CVE-2025-52662, but vigilance is still advised.

Where can I find the official Nuxt Devtools advisory for CVE-2025-52662?

You can find the official advisory and more details on the Nuxt.js changelog: https://vercel.com/changelog/cve-2025-52662-xss-on-nuxt-devtools

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
livefree scan

Probeer het nu — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...