Plataforma
nodejs
Componente
@nuxtjs/mdc
Corrigido em
0.13.4
0.13.3
Uma vulnerabilidade de Cross-Site Scripting (XSS) foi descoberta na biblioteca @nuxtjs/mdc, permitindo a execução de código JavaScript arbitrário. A falha reside na forma como a biblioteca processa URLs em arquivos Markdown, contornando as proteções existentes. Versões anteriores a 0.13.3 são afetadas e a correção já foi disponibilizada.
Um atacante pode explorar esta vulnerabilidade inserindo URLs maliciosas contendo código JavaScript em arquivos Markdown processados pela biblioteca @nuxtjs/mdc. Ao renderizar esses arquivos, o código JavaScript injetado será executado no navegador do usuário, permitindo roubo de cookies, redirecionamento para sites maliciosos, ou modificação do conteúdo da página. O impacto é severo, pois a exploração bem-sucedida pode comprometer a segurança de toda a aplicação que utiliza @nuxtjs/mdc para renderizar Markdown. A ausência de validação adequada da URL permite que o atacante contorne as defesas e execute código arbitrário.
Esta vulnerabilidade foi divulgada em 06 de fevereiro de 2025. Não há evidências de exploração ativa em campanhas direcionadas, mas a natureza da vulnerabilidade XSS a torna um alvo potencial para exploração automatizada. A pontuação CVSS de 9.3 indica um alto risco de exploração. Não está listada no KEV da CISA no momento.
Web applications built with Nuxt.js that utilize the @nuxtjs/mdc module for markdown rendering are at risk. This includes projects that allow user-generated content within markdown files, as attackers could inject malicious URLs through these channels. Shared hosting environments using older versions of @nuxtjs/mdc are particularly vulnerable.
• nodejs / supply-chain:
npm list @nuxtjs/mdc• nodejs / supply-chain:
grep -r 'https://github.com/nuxt-modules/mdc/blob/main/src/runtime/parser/utils/props.ts#L16' node_modules• generic web:
Inspect markdown content for URLs containing the javascript: protocol scheme. Monitor server logs for requests containing such URLs.
disclosure
Status do Exploit
EPSS
0.03% (percentil 8%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar a biblioteca @nuxtjs/mdc para a versão 0.13.3 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar filtros de URL no lado do servidor para remover ou escapar o protocolo javascript: e outros protocolos potencialmente perigosos. Além disso, utilize um Web Application Firewall (WAF) para bloquear requisições com URLs suspeitas. Monitore os logs de acesso em busca de padrões incomuns de URLs em arquivos Markdown.
Atualize o módulo @nuxtjs/mdc para a versão 0.13.3 ou superior. Esta versão contém uma correção para a vulnerabilidade XSS. Para atualizar, execute `npm update @nuxtjs/mdc` ou `yarn upgrade @nuxtjs/mdc` em seu projeto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-24981 is a critical XSS vulnerability in the @nuxtjs/mdc module, allowing attackers to inject JavaScript code through improperly parsed URLs in markdown content.
You are affected if you are using @nuxtjs/mdc versions prior to 0.13.3 and process user-supplied markdown content.
Upgrade to @nuxtjs/mdc version 0.13.3 or later. Implement input validation and sanitization as a temporary workaround.
No active exploits have been reported, but the high CVSS score suggests a high likelihood of exploitation if unpatched.
Refer to the official @nuxtjs/mdc repository and associated release notes for the advisory and detailed information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.