Nuxt DevTools存在跨站脚本(XSS)漏洞
漏洞详情
漏洞编号: CVE-2025-52662
严重程度: 中等
CVSS评分: 6.9/10
受影响版本
- 受影响版本: < 2.6.4
- 已修复版本: 2.6.4
漏洞描述
Nuxt DevTools中的一个漏洞已在2.6.4版本中修复。该问题在特定配置下可能允许通过跨站脚本(XSS)提取Nuxt身份验证令牌。建议所有用户升级到最新版本。
技术细节
CVSS v3基础指标
- 攻击向量: 网络
- 攻击复杂度: 高
- 所需权限: 无
- 用户交互: 需要
- 作用域: 已更改
- 机密性影响: 低
- 完整性影响: 高
- 可用性影响: 无
弱点分类
CWE-79: 在网页生成过程中对输入的不当中和(跨站脚本)
该产品在将用户可控的输入放置到提供给其他用户的网页输出之前,未能正确中和或错误地中和这些输入。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-52662
- nuxt/devtools@7cadbbe9
- https://vercel.com/changelog/cve-2025-52662-xss-on-nuxt-devtools
- https://github.com/nuxt/devtools/releases/tag/v2.6.4
安全建议
立即升级到Nuxt DevTools 2.6.4或更高版本,以修复此安全漏洞。