CVE-2026-45670

Nome do Software Vulnerável e Versões Afetadas @nuxt/rspack-builder versões 3.15.4 até 3.21.5 @nuxt/rspack-builder versões 4.0.0-alpha.1 até 4.4.5 @nuxt/webpack-builder versões 3.15.4 até 3.21.5 @nuxt/webpack-builder versões 4.0.0-alpha.1 até 4.4.5

Description Uma correção incompleta nos builders webpack e rspack permite que o código-fonte seja roubado durante o desenvolvimento. Isso ocorre se o servidor de desenvolvimento estiver vinculado a um endereço que não seja de loopback (por exemplo, ao usar nuxt dev --host) e um desenvolvedor acessar um site malicioso na mesma rede. O problema decorre da dependência dos cabeçalhos Sec-Fetch-Mode e Sec-Fetch-Site, que os navegadores enviam apenas para origens potencialmente confiáveis, permitindo que a verificação seja ignorada para origens não confiáveis.

Recommendations Atualize @nuxt/rspack-builder versões 3.15.4 até 3.21.5 para a versão 3.21.6. Atualize @nuxt/rspack-builder versões 4.0.0-alpha.1 até 4.4.5 para a versão 4.4.6. Atualize @nuxt/webpack-builder versões 3.15.4 até 3.21.5 para a versão 3.21.6. Atualize @nuxt/webpack-builder versões 4.0.0-alpha.1 até 4.4.5 para a versão 4.4.6. Evite usar o comando nuxt dev --host e vincule o servidor de desenvolvimento ao localhost. Alterne para o builder Vite para desenvolvimento.