平台
nodejs
组件
nuxt
修复版本
3.6.1
4.0.1
3.19.0
CVE-2025-59414 描述了 Nuxt 框架中的一个客户端路径遍历漏洞。该漏洞允许攻击者在特定预渲染条件下,通过操纵客户端请求,访问同一应用域内的其他端点,可能导致敏感信息泄露或未经授权的访问。该漏洞影响 Nuxt 3.18.0 及更早版本,建议升级至 3.19.0 以修复。
此漏洞的潜在影响包括攻击者能够读取或修改应用程序中的敏感文件,例如配置文件、数据库凭据或源代码。攻击者还可以利用此漏洞执行未经授权的操作,例如修改数据或执行恶意代码。由于该漏洞发生在客户端,因此攻击者可能需要诱骗用户访问恶意构建的页面才能触发漏洞。虽然 CVSS 评分为低危,但如果应用程序处理敏感数据或执行关键操作,则该漏洞可能构成重大风险。
该漏洞已公开披露,且可能存在公开的利用代码。目前尚无关于该漏洞被积极利用的报告,但由于其易于利用,因此建议尽快采取缓解措施。该漏洞已添加到 CISA KEV 目录中,表明其潜在风险较高。请密切关注安全社区的更新,以获取有关此漏洞的更多信息。
Applications built with Nuxt 3.18.0 or earlier are at risk. This includes projects utilizing the Island architecture and relying on user-controlled data within API responses. Shared hosting environments where Nuxt applications are deployed alongside other applications could also be affected if the vulnerability is exploited to gain access to other resources.
• nodejs / server:
find /path/to/nuxt/app -name 'revive-payload.client.ts' -print• nodejs / server:
grep -r '__nuxt_island' /path/to/nuxt/app• generic web:
Inspect API responses for the presence of serialized _nuxtisland objects. Examine access logs for unusual file requests or patterns indicative of path traversal attempts.
disclosure
漏洞利用状态
EPSS
0.05% (15% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是升级至 Nuxt 3.19.0 或更高版本,该版本修复了此漏洞。如果无法立即升级,可以考虑以下临时缓解措施:限制预渲染 API 端点返回的数据,确保数据不包含攻击者可以利用的路径信息。实施严格的输入验证和清理,以防止恶意路径注入。使用 Web 应用程序防火墙 (WAF) 过滤恶意请求,并监控应用程序日志以检测可疑活动。
升级 Nuxt 到 3.19.0 或更高版本,或 4.1.0 或更高版本。这修复了 Nuxt Islands payload revival 机制中的路径遍历漏洞。可以通过 npm 或 yarn 进行升级。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-59414 是 Nuxt 框架中发现的客户端路径遍历漏洞,允许攻击者在特定预渲染条件下访问同一应用域内的其他端点。
如果您正在使用 Nuxt 3.18.0 或更早版本,则可能受到此漏洞的影响。请立即升级至 3.19.0 或更高版本。
升级至 Nuxt 3.19.0 或更高版本是修复此漏洞的最佳方法。如果无法立即升级,请考虑实施临时缓解措施,例如限制预渲染 API 端点返回的数据。
目前尚无关于该漏洞被积极利用的报告,但由于其易于利用,因此建议尽快采取缓解措施。
请访问 Nuxt 官方安全公告页面以获取更多信息:[https://github.com/nuxt/nuxt/security/advisories](https://github.com/nuxt/nuxt/security/advisories)