Plataforma
nodejs
Componente
nuxt
Corrigido em
3.6.1
4.0.1
3.19.0
Uma vulnerabilidade de Path Traversal foi descoberta no mecanismo de revival de payloads Nuxt Islands. Essa falha permite que atacantes manipulem requisições do lado do cliente para acessar diferentes endpoints dentro do mesmo domínio da aplicação, sob condições específicas de prerendering. A vulnerabilidade afeta versões do Nuxt anteriores a 3.19.0 e pode ser corrigida atualizando para a versão mais recente.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante acesse recursos e dados confidenciais em diferentes partes da aplicação Nuxt, potencialmente expondo informações sensíveis ou comprometendo a integridade do sistema. O atacante pode, por exemplo, acessar arquivos de configuração, dados de usuários ou outros recursos que não deveriam ser acessíveis publicamente. Embora classificada como de baixo impacto pelo CVSS, a facilidade de exploração e o potencial de acesso a dados sensíveis tornam esta vulnerabilidade uma preocupação significativa, especialmente em aplicações Nuxt com dados confidenciais.
Esta vulnerabilidade foi divulgada em 2025-09-17. Não há evidências de exploração ativa em campanhas conhecidas no momento da publicação. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) e possui uma pontuação EPSS (Exploit Prediction Scoring System) de baixa probabilidade de exploração, indicando que a exploração é improvável, mas não impossível.
Applications built with Nuxt 3.18.0 or earlier are at risk. This includes projects utilizing the Island architecture and relying on user-controlled data within API responses. Shared hosting environments where Nuxt applications are deployed alongside other applications could also be affected if the vulnerability is exploited to gain access to other resources.
• nodejs / server:
find /path/to/nuxt/app -name 'revive-payload.client.ts' -print• nodejs / server:
grep -r '__nuxt_island' /path/to/nuxt/app• generic web:
Inspect API responses for the presence of serialized _nuxtisland objects. Examine access logs for unusual file requests or patterns indicative of path traversal attempts.
disclosure
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é atualizar para a versão 3.19.0 do Nuxt, que inclui a correção para o problema de Path Traversal. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a validação rigorosa de todas as entradas do usuário e a restrição de acesso a arquivos e diretórios sensíveis. Implementar regras de firewall (WAF) para bloquear requisições com padrões suspeitos de Path Traversal também pode ajudar a reduzir o risco. Verifique se a atualização foi aplicada com sucesso executando npm list nuxt e confirmando a versão instalada.
Atualize Nuxt para a versão 3.19.0 ou superior, ou para a versão 4.1.0 ou superior. Isso corrige a vulnerabilidade de traversal de caminho no mecanismo de revival de payloads de Nuxt Islands. A atualização pode ser realizada através de npm ou yarn.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-59414 is a client-side path traversal vulnerability in Nuxt versions 3.18.0 and below, allowing attackers to access unauthorized endpoints.
If you are using Nuxt version 3.18.0 or earlier, you are potentially affected by this vulnerability.
Upgrade to Nuxt version 3.19.0 or later to remediate the vulnerability. Consider input validation as a temporary workaround.
There are currently no confirmed reports of active exploitation, but the vulnerability's nature suggests it could be exploited once a proof-of-concept is available.
Refer to the official Nuxt security advisory for detailed information and updates: [https://nuxt.com/security/CVE-2025-59414](https://nuxt.com/security/CVE-2025-59414)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.