Vulnerabilidad en Nuxt (CVE-2025-24360)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
25/01/2025
Última modificación:
25/01/2025
Descripción
Nuxt es un desarrollo web de código abierto framework para Vue.js. A partir de la versión 3.8.1 y antes de la versión 3.15.3, Nuxt permite que cualquier sitio web envíe cualquier solicitud al servidor de desarrollo y lea la respuesta gracias a la configuración CORS predeterminada. Los usuarios con la opción server.cors predeterminada que utilicen el generador Vite pueden sufrir el robo del código fuente por parte de sitios web maliciosos. La versión 3.15.3 corrige la vulnerabilidad.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/nuxt/nuxt/blob/7d345c71462d90187fd09c96c7692f306c90def5/packages/vite/src/client.ts#L257-L263
- https://github.com/nuxt/nuxt/blob/7d345c71462d90187fd09c96c7692f306c90def5/packages/vite/src/vite-node.ts#L39
- https://github.com/nuxt/nuxt/commit/7eeb910bf4accb1e0193b9178c746f06ad3dd88f
- https://github.com/nuxt/nuxt/pull/23995
- https://github.com/nuxt/nuxt/security/advisories/GHSA-2452-6xj8-jh47
- https://github.com/vitejs/vite/security/advisories/GHSA-vg6x-rcgg-rjx6