Nuxt DevTools 跨站脚本(XSS)漏洞分析

漏洞概述

CVE ID: CVE-2025-52662
GHSA ID: GHSA-xmq3-q5pm-rp26
严重程度: 中等
CVSS 评分: 6.9/10

受影响版本

• 受影响版本: < 2.6.4
• 已修复版本: 2.6.4

漏洞描述

Nuxt DevTools 中的一个漏洞已在 2.6.4 版本中修复。该问题在某些配置下可能允许通过跨站脚本(XSS)攻击提取 Nuxt 身份验证令牌。建议所有用户尽快升级到修复版本。

技术细节

漏洞类型

• 弱点类型: CWE-79
• 具体描述: 在网页生成过程中对输入的不当处理（跨站脚本）

CVSS v3 基础指标

• 攻击向量: 网络
• 攻击复杂度: 高
• 所需权限: 无
• 用户交互: 需要
• 范围: 已更改
• 机密性影响: 低
• 完整性影响: 高
• 可用性影响: 无

参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2025-52662
• nuxt/devtools@7cadbbe9
• https://vercel.com/changelog/cve-2025-52662-xss-on-nuxt-devtools
• https://github.com/nuxt/devtools/releases/tag/v2.6.4

修复建议

立即将 @nuxt/devtools 包升级到 2.6.4 或更高版本，以防止潜在的身份验证令牌泄露风险。