CVE-2026-47200

Nome do Software Vulnerável e Versões Afetadas Nuxt versões 3.11.0 até 3.21.5 Nuxt versões 4.0.0-alpha.1 até 4.4.5 @nuxt/nitro-server versões 3.20.0 até 3.21.5 @nuxt/nitro-server versões 4.0.0-alpha.1 até 4.4.5

Description Quando experimental.componentIslands está habilitado, qualquer arquivo .server.vue localizado em pages/ é automaticamente registrado como uma "server island" e exposto através do endpoint '/ nuxt island/:name'. Solicitações feitas a esse endpoint renderizam o componente da página diretamente via renderizador SSR (Server-Side Rendering) sem instanciar o Vue Router. Consequentemente, o middleware de rota declarado na página, como aqueles definidos via definePageMeta({ middleware }), não é executado. Isso permite que atacantes não autenticados ignorem verificações de autenticação que dependem exclusivamente de middleware de rota, solicitando diretamente o endpoint da island para receber o HTML renderizado no servidor.

Recommendations Atualize o Nuxt para a versão 3.21.6 ou 4.4.6. Atualize o @nuxt/nitro-server para a versão 3.21.6 ou 4.4.6. Como alternativa temporária, force a autenticação dentro da própria página .server.vue, lendo a sessão de useRequestEvent() e lançando um erro ou redirecionando antes de retornar os dados. Desabilite experimental.componentIslands se o recurso não for necessário. Restrinja o acesso ao prefixo de URL '/ nuxt island/page *' utilizando um proxy reverso ou middleware de servidor.