Katalog CVE

CVE-2026-45670

ŚrednieCVSS 5.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 10 — wyżej niż 10% wszystkich znanych CVE

Streszczenie

W wersjach @nuxt/rspack-builder i @nuxt/webpack-builder od 3.15.4 do przed 3.21.6 oraz 4.0.0-alpha.1 do przed 4.4.6 występuje niekompletna poprawka dla GHSA-4gf7-ff8x-hq99. Kod źródłowy może zostać skradziony podczas pracy dewelopera, gdy serwer deweloperski jest powiązany z adresem innym niż loopback.

Ocena ryzyka

Organizacja może być narażona na kradzież kodu źródłowego, jeśli deweloper otworzy złośliwą stronę w tej samej sieci, co serwer deweloperski. To może prowadzić do wycieku poufnych informacji i naruszenia bezpieczeństwa.

Rekomendacja

Zaleca się aktualizację do wersji 3.21.6 lub 4.4.6, aby usunąć tę podatność. Dodatkowo, należy unikać uruchamiania serwera deweloperskiego na adresach innych niż loopback.

Oryginalny opis (angielski, źródło NVD)

Nuxt is an open-source web development framework for Vue.js. In @nuxt/rspack-builder and @nuxt/webpack-builder versions 3.15.4 to before 3.21.6, and 4.0.0-alpha.1 to before 4.4.6, there is an incomplete fix for GHSA-4gf7-ff8x-hq99. Source code may be stolen during dev when using the webpack / rspack builder if the dev server is bound to a non-loopback address (e.g. nuxt dev --host) and the developer opens a malicious site on the same network. This issue has been patched in versions 3.21.6 and 4.4.6.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS