Vercel News
·
CVE-2025-52662:Nuxt DevTools 中的 XSS 漏洞
💡
原文英文,约200词,阅读约需1分钟。
📝
内容提要
Nuxt DevTools 2.6.4 修复了中等严重的安全漏洞,可能导致 XSS 攻击提取认证令牌和远程代码执行。建议用户及时升级。
🎯
关键要点
- Nuxt DevTools 2.6.4 修复了中等严重的安全漏洞。
- 该漏洞可能导致通过 XSS 提取认证令牌和远程代码执行。
- 建议用户及时升级到最新版本。
- 漏洞链允许在开发环境中通过 XSS、认证令牌外泄和路径遍历实现远程代码执行。
- 漏洞存在于 DevTools 认证页面,错误信息未经过适当清理,导致 DOM 基于 XSS。
- 攻击者可以利用此漏洞窃取认证令牌,并通过 WebSocket 消息处理程序的路径遍历漏洞写入任意文件。
- XSS 问题通过在 Nuxt DevTools 2.6.4 中将错误显示为 textContent 而非 innerHTML 解决。
- 建议避免公开暴露 Nuxt DevTools 或在生产环境中使用开发模式运行 Nuxt。
- 感谢 @yuske 进行负责任的漏洞披露。
➡️
