製品・ソフトウェアに関する情報

JVN脆弱性詳細

Nuxtのnuxt/nitro-server等の複数製品における複数の脆弱性

タイトル	Nuxtのnuxt/nitro-server等の複数製品における複数の脆弱性
概要	NuxtはVue.jsのためのオープンソースのウェブ開発フレームワークです。Nuxtのバージョン3.11.0から3.21.6未満、および4.0.0-alpha.1から4.4.6未満、さらに@nuxt/nitro-serverのバージョン3.20.0から3.21.6未満、4.0.0-alpha.1から4.4.6未満において、experimental.componentIslandsが有効になっている場合（Nuxt 4ではデフォルト）、pages/以下の任意の.server.vueファイルが自動的にサーバーアイランドとしてキーpage_routeNameで登録され、/__nuxt_island/:nameエンドポイント経由で公開されます。この修正が適用される前は、そのエンドポイントを通じたリクエストがSSRレンダラーによってページコンポーネントを直接レンダリングしており、Vue Routerがインスタンス化されなかったため、ページに宣言されたルートミドルウェア（definePageMeta({middleware})を含む）が実行されていませんでした。この問題はバージョン3.21.6および4.4.6で修正されました。
想定される影響	・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアは停止しません。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月12日0:00
登録日	2026年6月16日13:40
最終更新日	2026年6月16日13:40

CVSS3.0 : 警告
スコア	5.3
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

影響を受けるシステム

Nuxt

Nuxt 3.11.0 以上 3.21.6 未満

Nuxt 4.0.0 以上 4.4.6 未満

nuxt/nitro-server 3.20.0 以上 3.21.6 未満

nuxt/nitro-server 4.2.0 以上 4.4.6 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-47200	https://www.cve.org/CVERecord?id=CVE-2026-47200
National Vulnerability Database (NVD)
2	CVE-2026-47200	https://nvd.nist.gov/vuln/detail/CVE-2026-47200

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-284	https://cwe.mitre.org/data/definitions/284.html
2	CWE-288	https://cwe.mitre.org/data/definitions/288.html

ベンダー情報

No	名前	URL
GitHub
1	Route middleware not enforced when rendering `.server.vue` pages via `/__nuxt_island/page_*` Advisory nuxt/nuxt GitHub	https://github.com/nuxt/nuxt/security/advisories/GHSA-hg3f-28rg-4jxj

その他

No	名前	URL
関連文書
1	fix(nuxt): run middleware for page islands by danielroe Pull Request #35092 nuxt/nuxt GitHub	https://github.com/nuxt/nuxt/pull/35092

変更履歴

No	変更内容	変更日
1	[2026年06月16日] 掲載	2026年6月16日13:40

NVD脆弱性情報

CVE-2026-47200

概要	Nuxt is an open-source web development framework for Vue.js. In Nuxt versions 3.11.0 to before 3.21.6 and 4.0.0-alpha.1 to before 4.4.6 and @nuxt/nitro-server versions 3.20.0 to before 3.21.6 and 4.0.0-alpha.1 to before 4.4.6, when experimental.componentIslands is enabled (default in Nuxt 4), any .server.vue file under pages/ is automatically registered as a server island under the key page_<routeName> and exposed via the /__nuxt_island/:name endpoint. Until this fix, requests through that endpoint rendered the page component directly via the SSR renderer without instantiating Vue Router, which meant route middleware declared on the page (including definePageMeta({ middleware })) did not run. This issue has been patched in versions 3.21.6 and 4.4.6.
公表日	2026年6月12日23:16
登録日	2026年6月13日4:17
最終更新日	2026年6月16日3:09

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:nuxt:nuxt::::::::	3.11.0			3.21.6
cpe:2.3:a:nuxt:nuxt::::::::	4.0.0			4.4.6
cpe:2.3:a:nuxt:nuxt\/nitro-server::::::node.js::*	3.20.0			3.21.6
cpe:2.3:a:nuxt:nuxt\/nitro-server::::::node.js::*	4.2.0			4.4.6

No	URL	refsource
1	https://github.com/nuxt/nuxt/pull/35092	security-advisories@github.com
2	https://github.com/nuxt/nuxt/security/advisories/GHSA-hg3f-28rg-4jxj	security-advisories@github.com
3	https://github.com/nuxt/nuxt/security/advisories/GHSA-hg3f-28rg-4jxj	134c704f-9b21-4f2e-91b3-4a467353bcc0

No	CWE	名前	URL
1	CWE-288	代替パスまたはチャネルを使用した認証回避	https://cwe.mitre.org/data/definitions/288.html
2	CWE-284	不適切なアクセス制御	https://cwe.mitre.org/data/definitions/284.html