CVE-2026-53722

Nome do Software Vulnerável e Versões Afetadas Nuxt versões anteriores a 3.21.7 Nuxt versões anteriores a 4.4.7

Descrição O componente <NuxtLink> não valida o esquema de URL dos valores vinculados às suas props to ou href antes de renderizá-los no atributo href do elemento <a> subjacente. Se uma aplicação vincular entradas controladas por um invasor a essas props, o invasor poderá fornecer uma URL javascript: ou vbscript:. Ao ser clicada, isso executa o script na origem da aplicação, resultando em cross-site scripting (XSS) baseado em DOM refletido, que é uma vulnerabilidade onde um script é executado no navegador do usuário devido à falha da aplicação em sanitizar a entrada. Além disso, um payload data:text/html,... pode ser usado para criar uma superfície de phishing na mesma aba. Este problema também afeta aplicações que vinculam novamente as props href e route.href do slot personalizado do componente às suas próprias âncoras.

Recomendações Atualizar para a versão 3.21.7 ou posterior. Atualizar para a versão 4.4.7 ou posterior.