Plataforma
nodejs
Componente
@nuxt/icon
Corrigido em
1.4.6
1.4.5
A vulnerabilidade CVE-2024-42352 é uma falha de SSRF (Server-Side Request Forgery) descoberta no pacote @nuxt/icon, uma biblioteca para gerenciamento de ícones em aplicações Nuxt.js. Essa falha permite que um atacante manipule as requisições feitas pelo servidor, potencialmente expondo dados sensíveis ou acessando recursos internos. A vulnerabilidade afeta versões anteriores a 1.4.5 e foi publicada em 05 de agosto de 2024. A correção está disponível na versão 1.4.5.
A exploração bem-sucedida da vulnerabilidade SSRF em @nuxt/icon pode permitir que um atacante realize requisições para qualquer URL que o servidor possa acessar. Isso pode levar à exposição de dados confidenciais armazenados em serviços internos, como bancos de dados, servidores de arquivos ou APIs. Além disso, um atacante pode usar a vulnerabilidade para realizar ataques de escaneamento de rede, coletando informações sobre a infraestrutura interna. Em cenários mais graves, a SSRF pode ser utilizada para ler arquivos sensíveis do sistema de arquivos do servidor, como arquivos de configuração ou chaves de API, comprometendo a segurança da aplicação e dos dados.
A vulnerabilidade CVE-2024-42352 foi divulgada publicamente em 05 de agosto de 2024. Não há informações disponíveis sobre a adição da vulnerabilidade ao KEV (Know Exploited Vulnerabilities) da CISA ou sobre a existência de exploits públicos. A probabilidade de exploração é considerada média, devido à facilidade de exploração da SSRF e à ampla utilização do pacote @nuxt/icon em aplicações Nuxt.js.
Applications using @nuxt/icon version 1.4.4 or earlier are at risk. This includes Nuxt.js projects relying on this component for icon management. Shared hosting environments where the application server has limited network access controls are particularly vulnerable, as an attacker could potentially leverage the SSRF to access other services on the same host.
• nodejs / server:
ps aux | grep _nuxt_icon• nodejs / server:
find / -name "_nuxt_icon/[name]" -type f 2>/dev/null• generic web:
curl -I http://your-nuxt-app.com/api/_nuxt_icon/malicious_urlInspect the response headers for unexpected hostnames or schemes.
disclosure
Status do Exploit
EPSS
0.08% (percentil 25%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-42352 é atualizar o pacote @nuxt/icon para a versão 1.4.5 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de mitigação adicionais. Uma possível solução é restringir o acesso à API /api/nuxticon/[name] através de um firewall de aplicações web (WAF) ou proxy reverso, bloqueando requisições com esquemas ou hosts não autorizados. Além disso, revise a configuração do servidor para garantir que apenas os recursos necessários estejam acessíveis externamente. Após a atualização, confirme a correção verificando se as requisições para a API /api/nuxticon/[name] são devidamente validadas e não permitem a manipulação do esquema e host.
Atualize o pacote `@nuxt/icon` para a versão 1.4.5 ou superior. Isso resolverá a vulnerabilidade SSRF. Execute `npm update @nuxt/icon` ou `yarn upgrade @nuxt/icon` para atualizar o pacote.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-42352 é uma vulnerabilidade SSRF no pacote @nuxt/icon que permite a manipulação de requisições do servidor, expondo dados sensíveis.
Sim, se você estiver utilizando uma versão do @nuxt/icon anterior a 1.4.5, você está potencialmente afetado.
Atualize o pacote @nuxt/icon para a versão 1.4.5 ou superior. Implemente medidas de mitigação como WAF ou restrição de acesso à API.
Atualmente, não há informações sobre exploração ativa, mas a probabilidade é considerada média devido à facilidade de exploração da SSRF.
Consulte o changelog do @nuxt/icon no repositório oficial no GitHub para obter informações detalhadas sobre a correção.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.