漏洞信息
# 在本地运行 nuxt 测试时通过浏览器进行远程代码执行
## 漏洞概述
Nuxt 是一个用于创建全栈 Web 应用程序和网站的开源框架,基于 Vue.js。由于 `path` 参数在 `NuxtTestComponentWrapper` 中验证不足,攻击者可以在服务器端执行任意 JavaScript 代码,进而执行任意命令。运行本地测试服务器的用户如果打开恶意网页,会受到此漏洞影响,导致服务器端远程代码执行。
## 影响版本
此漏洞描述未提及具体影响的版本。
## 漏洞细节
`path` 参数在 `NuxtTestComponentWrapper` 中没有进行严格的验证,导致攻击者可以向服务器发送恶意请求,执行任意的 JavaScript 代码。这种漏洞可能在用户访问恶意网页时被利用,特别是在用户本地运行测试服务器的情况下。恶意网页可以通过不断尝试发起请求来触发此漏洞。
## 漏洞影响
该漏洞允许攻击者通过恶意网页远程执行代码,从而可以控制或破坏本地运行的 Nuxt 服务器。当用户浏览恶意网页时,该网页可以不断尝试触发漏洞,并在本地服务器启动时成功执行恶意代码。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Remote code execution via the browser when running the test locally in nuxt
漏洞描述信息
Nuxt is a free and open-source framework to create full-stack web applications and websites with Vue.js. Due to the insufficient validation of the `path` parameter in the NuxtTestComponentWrapper, an attacker can execute arbitrary JavaScript on the server side, which allows them to execute arbitrary commands. Users who open a malicious web page in the browser while running the test locally are affected by this vulnerability, which results in the remote code execution from the malicious web page. Since web pages can send requests to arbitrary addresses, a malicious web page can repeatedly try to exploit this vulnerability, which then triggers the exploit when the test server starts.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
对生成代码的控制不恰当(代码注入)
漏洞标题
Nuxt 安全漏洞
漏洞描述信息
Nuxt是Nuxt开源的一个免费的开源框架。 Nuxt 3.4.0版本至3.12.4之前版本存在安全漏洞,该漏洞源于参数的验证不足,攻击者可以在服务器端执行任意JavaScript,进而执行任意命令。
CVSS信息
N/A
漏洞类别
其他