Nuxt - 通过 NoScript 组件插槽内容的跨站脚本 (XSS) 漏洞 漏洞概述 Nuxt 在 4.4.7 之前(以及 3.x 分支在 3.21.7 之前)的 NoScript 组件中存在一个跨站脚本漏洞。该漏洞允许攻击者通过未转义的数据注入恶意脚本,这些数据在 NoScript 插槽中执行,例如路由查询参数,当 标签被隐式关闭时,这些脚本会在文档上下文中执行。 影响范围 Nuxt >= 4.0.0, = 0, < 3.21.7 修复方案 升级到 Nuxt 4.4.7 或更高版本,或 Nuxt 3.21.7 或更高版本。 参考链接 GHSA Advisory GitHub Commit GitHub Commit 其他信息 严重性: 低 日期: 2026年6月20日 CVE: CVE-2026-56317 CWE: CWE-79 改进输入中和(跨站脚本) CVSS: 2.3 CVSS V4 向量: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:R/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N 报告者: alcis01111