Nuxtのnuxt/nitro-server等の複数製品における複数の脆弱性
| Title |
Nuxtのnuxt/nitro-server等の複数製品における複数の脆弱性
|
| Summary |
NuxtはVue.jsのためのオープンソースのウェブ開発フレームワークです。Nuxtのバージョン3.1.0から3.21.6未満および4.0.0-alpha.1から4.4.6未満、並びに@nuxt/nitro-serverのバージョン3.20.0から3.21.6未満および4.0.0-alpha.1から4.4.6未満において、/__nuxt_island/*エンドポイントは攻撃者が操作可能なpropsクエリおよびボディパラメータを受け入れます。URL内のハッシュ(Name_hashId.json)が実際にNuxtIslandによってこれらの入力に対して発行されたものであるかを検証せずに、任意のアイランドコンポーネントをレンダリングします。ハッシュはクライアント側で計算および埋め込まれますが、サーバー側で検証されないため、同じパスでもクエリによって実質的に異なるレスポンスが返される可能性があります。この問題はバージョン3.21.6および4.4.6で修正されています。
|
| Possible impacts |
・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
June 12, 2026, midnight |
| Registration Date |
June 16, 2026, 1:40 p.m. |
| Last Update |
June 16, 2026, 1:40 p.m. |
|
CVSS3.0 : 警告
|
| Score |
5.4
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
Affected System
| Nuxt |
|
Nuxt 3.1.0 以上 3.21.6 未満
|
|
Nuxt 4.0.0 以上 4.4.5 未満
|
|
nuxt/nitro-server 3.20.0 以上 3.21.6 未満
|
|
nuxt/nitro-server 4.2.0 以上 4.4.6 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月16日]
掲載 |
June 16, 2026, 1:40 p.m. |
NVD Vulnerability Information
CVE-2026-46342
| Summary |
Nuxt is an open-source web development framework for Vue.js. In Nuxt versions 3.1.0 to before 3.21.6 and 4.0.0-alpha.1 to before 4.4.6 and @nuxt/nitro-server versions 3.20.0 to before 3.21.6 and 4.0.0-alpha.1 to before 4.4.6, the /__nuxt_island/* endpoint accepts attacker-controlled props query/body parameters and renders any island component without verifying that the URL-resident hash (<Name>_<hashId>.json) was actually issued for those inputs by <NuxtIsland>. The hash is computed and embedded client-side but never validated server-side, so the same path can return materially different responses depending on the query. This issue has been patched in versions 3.21.6 and 4.4.6.
|
| Publication Date |
June 12, 2026, 11:16 p.m. |
| Registration Date |
June 13, 2026, 4:17 a.m. |
| Last Update |
June 16, 2026, 3:09 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:nuxt:nuxt:*:*:*:*:*:*:*:* |
3.1.0 |
|
|
3.21.6 |
| cpe:2.3:a:nuxt:nuxt:*:*:*:*:*:*:*:* |
4.0.0 |
|
|
4.4.5 |
| cpe:2.3:a:nuxt:nuxt\/nitro-server:*:*:*:*:*:node.js:*:* |
3.20.0 |
|
|
3.21.6 |
| cpe:2.3:a:nuxt:nuxt\/nitro-server:*:*:*:*:*:node.js:*:* |
4.2.0 |
|
|
4.4.6 |
Related information, measures and tools
Common Vulnerabilities List