Plataforma
nodejs
Componente
nuxt
Corrigido em
3.4.1
3.12.4
A vulnerabilidade CVE-2024-34344 é uma falha de Execução Remota de Código (RCE) presente no framework Nuxt, uma ferramenta para construção de aplicações web com Node.js. Devido à validação insuficiente do parâmetro 'path' no componente NuxtTestComponentWrapper, um atacante pode executar código JavaScript arbitrário no servidor, comprometendo a aplicação. A vulnerabilidade afeta versões anteriores a 3.12.4 e foi publicada em 05 de agosto de 2024. A correção está disponível na versão 3.12.4.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante execute comandos arbitrários no servidor onde a aplicação Nuxt está sendo executada. Isso pode levar ao comprometimento completo do servidor, permitindo o acesso não autorizado a dados sensíveis, a instalação de malware ou a utilização do servidor para fins maliciosos. O impacto é severo, pois um atacante pode obter controle total sobre o ambiente de hospedagem da aplicação. A vulnerabilidade reside na forma como o componente NuxtTestComponentWrapper lida com o parâmetro 'path', permitindo a injeção de código malicioso que é executado durante o processo de teste.
A vulnerabilidade CVE-2024-34344 foi divulgada publicamente em 05 de agosto de 2024. Não há informações disponíveis sobre a inclusão desta vulnerabilidade no KEV (Know Exploited Vulnerabilities) da CISA, nem sobre a existência de exploits públicos amplamente divulgados. A probabilidade de exploração é considerada moderada, dada a natureza da vulnerabilidade RCE e a relativa facilidade de exploração, embora a necessidade de acesso ao componente de teste possa limitar o escopo. Consulte o aviso oficial do Nuxt para obter mais informações.
Applications utilizing Nuxt versions prior to 3.12.4 are at risk, particularly those exposing the NuxtTestComponentWrapper component to untrusted input. Development environments and staging servers running vulnerable versions are also high-priority targets. Teams using automated deployment pipelines should ensure the upgrade process is prioritized.
• nodejs / server:
ps aux | grep nuxt
journalctl -u nuxt -f | grep "nuxt-root.vue"• generic web:
curl -I 'http://your-nuxt-app/path/to/vulnerable/component?path=evil.js' # Check for unusual response headers
grep 'evil.js' /var/log/nginx/access.log # Look for requests containing malicious pathsdisclosure
Status do Exploit
EPSS
1.31% (percentil 80%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar o Nuxt para a versão 3.12.4 ou superior, que inclui a correção para a falha de validação. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como restringir o acesso ao componente NuxtTestComponentWrapper apenas a usuários autorizados e monitorar o sistema em busca de atividades suspeitas. Implementar regras em um Web Application Firewall (WAF) para bloquear requisições com parâmetros 'path' maliciosos também pode ajudar a mitigar o risco. Após a atualização, confirme a correção verificando os logs do sistema e realizando testes de penetração para garantir que a vulnerabilidade foi efetivamente corrigida.
Actualice Nuxt a la versión 3.12.4 o superior. Esta versión corrige la vulnerabilidad de ejecución remota de código. La actualización se puede realizar a través de npm o yarn, dependiendo de su gestor de paquetes.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-34344 is a Remote Code Execution vulnerability in Nuxt, allowing attackers to execute arbitrary JavaScript on the server due to insufficient path validation in the NuxtTestComponentWrapper component.
You are affected if you are using Nuxt versions prior to 3.12.4. Assess your Nuxt deployment to determine if it is vulnerable.
Upgrade to Nuxt version 3.12.4 or later to resolve the vulnerability. If immediate upgrade is not possible, implement WAF rules and restrict access to the vulnerable component.
While no active exploitation has been confirmed, the ease of exploitation suggests a high probability of exploitation in the near future.
Refer to the official Nuxt security advisory for detailed information and updates: https://github.com/nuxt/nuxt/security/advisories/CVE-2024-34344
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.