Nuxt DevTools跨站脚本(XSS)漏洞分析

漏洞详情

包管理器: npm
受影响包: @nuxt/devtools
受影响版本: < 2.6.4
已修复版本: 2.6.4
严重程度: 中等
CVSS评分: 6.9/10

漏洞描述

Nuxt DevTools中的一个漏洞已在2.6.4版本中修复。该问题在某些配置下可能允许通过跨站脚本(XSS)攻击提取Nuxt身份验证令牌。建议所有用户立即升级到修复版本。

技术细节

CVSS v3基础指标:

• 攻击向量: 网络
• 攻击复杂度: 高
• 所需权限: 无
• 用户交互: 需要
• 范围: 已更改
• 机密性影响: 低
• 完整性影响: 高
• 可用性影响: 无

弱点类型: CWE-79 - 在网页生成过程中输入验证不当（跨站脚本）

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-52662
• nuxt/devtools@7cadbbe9
• https://vercel.com/changelog/cve-2025-52662-xss-on-nuxt-devtools
• https://github.com/nuxt/devtools/releases/tag/v2.6.4

安全建议

所有使用受影响版本(@nuxt/devtools < 2.6.4)的用户应立即升级到2.6.4或更高版本，以防范潜在的XSS攻击风险。

EPSS评分: 0.028% (第6百分位)
该评分估计此漏洞在未来30天内被利用的概率。