Sota70

**Nome do Software Vulnerável e Versões Afetadas** Nuxt versões anteriores a 3.21.7 Nuxt versões anteriores a 4.4.7 **Descrição** O componente `<NuxtLink>` não valida o esquema de URL dos valores vinculados às suas props `to` ou `href` antes de renderizá-los no atributo `href` do elemento `<a>` subjacente. Se uma aplicação vincular entradas controladas por um invasor a essas props, o invasor poderá fornecer uma URL `javascript:` ou `vbscript:`. Ao ser clicada, isso executa o script na origem da aplicação, resultando em cross-site scripting (XSS) baseado em DOM refletido, que é uma vulnerabilidade onde um script é executado no navegador do usuário devido à falha da aplicação em sanitizar a entrada. Além disso, um payload `data:text/html,...` pode ser usado para criar uma superfície de phishing na mesma aba. Este problema também afeta aplicações que vinculam novamente as props `href` e `route.href` do slot personalizado do componente às suas próprias âncoras. **Recomendações** Atualizar para a versão 3.21.7 ou posterior. Atualizar para a versão 4.4.7 ou posterior.