製品・ソフトウェアに関する情報

Vulnerability Search

ベンダー検索

Product/Service Search

JVN Vulnerability Search Top

->

JVN脆弱性詳細

Nuxtにおけるクロスサイトスクリプティングの脆弱性

Title	Nuxtにおけるクロスサイトスクリプティングの脆弱性
Summary	Nuxt 4.4.7 より前のバージョン（および 3.x ブランチの 3.21.7 より前のバージョン）には、NoScript コンポーネントにクロスサイトスクリプティングの脆弱性があります。このコンポーネントはスロットの内容をエスケープせずに innerHTML に書き込みます。攻撃者は、route.query パラメータなどの信頼されていないデータを NoScript スロットに注入でき、noscript タグがスクリプトタグによって暗黙的に閉じられた際にドキュメントコンテキストで悪意のあるスクリプトを実行させることが可能です。
Possible impacts	・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 20, 2026, midnight
Registration Date	June 26, 2026, 11:53 a.m.
Last Update	June 26, 2026, 11:53 a.m.

CVSS3.0 : 警告
Score	6.1
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Affected System

Nuxt

Nuxt 3.21.7 未満

Nuxt 4.0.0 以上 4.4.7 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-56317	https://www.cve.org/CVERecord?id=CVE-2026-56317
National Vulnerability Database (NVD)
2	CVE-2026-56317	https://nvd.nist.gov/vuln/detail/CVE-2026-56317

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-79	https://jvndb.jvn.jp/ja/cwe/CWE-79.html

ベンダー情報

No	Name	URL
GitHub
1	Cross-site scripting via <NoScript> slot content in Nuxt's head components Advisory nuxt/nuxt GitHub	https://github.com/nuxt/nuxt/security/advisories/GHSA-m3q2-p4fw-w38m
VulnCheck
2	Nuxt - Cross-Site Scripting via NoScript Component Slot Content \| Advisories \| VulnCheck	https://www.vulncheck.com/advisories/nuxt-cross-site-scripting-via-noscript-component-slot-content

その他

No	Name	URL
関連文書
1	fix(nuxt): escape `<NoScript>` slot content nuxt/nuxt@4b054e9 GitHub	https://github.com/nuxt/nuxt/commit/4b054e9d95f8daf366cb144b52782047c511a66e
2	fix(nuxt): escape `<NoScript>` slot content nuxt/nuxt@7fea9fd GitHub	https://github.com/nuxt/nuxt/commit/7fea9fd687f1dacbfb63db5fae5839896b017a0e

Change Log

No	Changed Details	Date of change
1	[2026年06月26日] 掲載	June 26, 2026, 11:53 a.m.