CVE-2025-24361

Nome do Software Vulnerável e Versões Afetadas Versões do Nuxt 3.0.0 a 3.15.12 Versões do Nuxt 3.12.2 a 3.152

Descrição O código-fonte pode ser roubado durante o desenvolvimento ao usar o builder webpack ou rspack e uma vítima abrir um site malicioso. Como a requisição de um script clássico por uma tag script não está sujeita à política de mesma origem, um atacante pode injetar um script malicioso em seu site e executar o script. Ao usar Function::toString nos valores em window.webpackChunknuxt app, o atacante pode obter o código-fonte.

Recomendações Para as versões do Nuxt 3.0.0 a 3.15.12, atualize para a versão 3.15.13 para corrigir o problema. Para as versões do Nuxt 3.12.2 a 3.152, atualize para a versão 3.15.13 para corrigir o problema. Como solução temporária, considere restringir o acesso aos valores de window.webpackChunknuxt app para minimizar o risco de exploração. Evite usar o método Function::toString nos valores em window.webpackChunknuxt app até que o problema seja resolvido.