平台
nodejs
组件
@nuxt/icon
修复版本
1.4.6
1.4.5
CVE-2024-42352 是 @nuxt/icon 组件中的一个服务器端请求伪造 (SSRF) 漏洞。该漏洞源于对请求路径的不正确解析,攻击者可以利用此漏洞修改请求的主机,从而可能导致敏感数据泄露。该漏洞影响 @nuxt/icon 的 1.4.5 之前的版本,建议尽快升级至 1.4.5 版本以修复此问题。
攻击者可以利用此 SSRF 漏洞发起内部端口扫描,访问内部服务,甚至可能读取内部文件系统上的敏感数据。由于该漏洞允许攻击者修改请求主机,因此攻击者可以绕过网络隔离,访问原本无法访问的资源。如果内部服务存在其他漏洞,攻击者还可以利用 SSRF 漏洞作为跳板,进一步攻击内部系统,造成更大的安全风险。该漏洞的潜在影响包括敏感数据泄露、内部系统被入侵以及服务中断。
该漏洞已公开披露,并存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于该漏洞的易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录中。公开的 PoC 可能会出现,因此需要密切关注安全社区的动态。
Applications using @nuxt/icon version 1.4.4 or earlier are at risk. This includes Nuxt.js projects relying on this component for icon management. Shared hosting environments where the application server has limited network access controls are particularly vulnerable, as an attacker could potentially leverage the SSRF to access other services on the same host.
• nodejs / server:
ps aux | grep _nuxt_icon• nodejs / server:
find / -name "_nuxt_icon/[name]" -type f 2>/dev/null• generic web:
curl -I http://your-nuxt-app.com/api/_nuxt_icon/malicious_urlInspect the response headers for unexpected hostnames or schemes.
disclosure
漏洞利用状态
EPSS
0.08% (25% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是升级到 @nuxt/icon 1.4.5 或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 或反向代理来过滤恶意请求,阻止攻击者修改请求主机。此外,还可以限制 @nuxt/icon 组件的访问权限,只允许其访问必要的资源。在升级后,请仔细检查 @nuxt/icon 组件的配置,确保其没有被错误配置,从而避免潜在的安全风险。验证升级是否成功,可以通过尝试构造一个 SSRF 攻击向量,确认其已被阻止。
将 `@nuxt/icon` 包更新到 1.4.5 或更高版本。这将修复 SSRF 漏洞。运行 `npm update @nuxt/icon` 或 `yarn upgrade @nuxt/icon` 以更新包。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-42352 是 @nuxt/icon 组件中的一个服务器端请求伪造 (SSRF) 漏洞,攻击者可以利用不正确的 URL 解析修改请求主机,导致敏感数据泄露。
如果您正在使用 @nuxt/icon 的 1.4.5 之前的版本,则可能受到此漏洞的影响。请立即检查您的版本并升级。
建议升级到 @nuxt/icon 1.4.5 或更高版本。如果无法立即升级,请考虑使用 WAF 或反向代理来过滤恶意请求。
目前尚未观察到大规模的利用活动,但由于该漏洞的易利用性,建议尽快采取缓解措施。
请访问 @nuxt/icon 的官方 GitHub 仓库或官方网站,查找有关此漏洞的公告和修复说明。