CVE-2025-59414

Nome do Software Vulnerável e Versões Afetadas Versões do Nuxt anteriores à 3.19.0 Versões do Nuxt anteriores à 4.1.0

Descrição Existe uma vulnerabilidade de path traversal no lado do cliente no mecanismo de reativação de payload das Islands do Nuxt. Isso permite que atacantes manipulem requisições no lado do cliente para diferentes endpoints dentro do mesmo domínio da aplicação quando condições específicas de pré-renderização são atendidas. A vulnerabilidade ocorre no processo de reativação de payload no lado do cliente, onde as Nuxt Islands são automaticamente requisitadas ao encontrar objetos nuxt island serializados. Durante a pré-renderização, se um endpoint de API retornar dados controlados pelo usuário contendo um objeto nuxt island forjado, os dados são serializados e armazenados na página pré-renderizada. Quando um cliente navega para a página pré-renderizada, o payload é desserializado e o reativador da Island tenta requisitar / nuxt island/${key}.json, onde key pode conter sequências de path traversal. A vulnerabilidade requer páginas pré-renderizadas, respostas de API controladas pelo atacante e navegação no lado do cliente.

Recomendações Atualize para a versão 3.19.0 ou posterior do Nuxt. Atualize para a versão 4.1.0 ou posterior do Nuxt.