Nuxt - Open Redirect via Protocol-Relative Paths in reloadNuxtApp 漏洞概述 Nuxt 版本 4.0.0 到 4.4.7 和 3.x 到 3.21.7 在 函数中接受协议相对路径(如 )。这些路径通过脚本协议检查,但解析为与当前页面协议不同的跨源 URL。攻击者可以注入类似 的路径来重定向用户到攻击者控制的网站,从而启用钓鱼和 OAuth 授权代码窃取。 影响范围 Nuxt >= 4.0.0, = 3.0, < 3.21.7 修复方案 升级到 Nuxt 4.4.7 或更高版本,或 Nuxt 3.21.7 或更高版本。 参考链接 GitHub Security Advisory GitHub Commit 其他信息 CVE: CVE-2026-56697 CWE: CWE-601 URL Redirection to Untrusted Site ('Open Redirect') CVSS: 5.3 CVSS Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:R/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N Credit: a1cis01111