Slow Mist: Wystąpił przypadek ataku luki w zabezpieczeniach umożliwiającej zdalne wykonanie kodu w Nuxt.js. Odpowiednie strony projektu proszone są o terminową aktualizację.

Według SlowMist luka w zabezpieczeniach Nuxt.js umożliwiająca zdalne wykonanie kodu (CVE-2023-3224) PoC została upubliczniona w Internecie, a przypadki ataków już się pojawiły. Nuxt.js to lekki framework aplikacji oparty na Vue.js. Może być używany do tworzenia aplikacji renderujących po stronie serwera (SSR). Może być również używany jako silnik strony statycznej do generowania aplikacji strony statycznej eleganckie nakładanie warstw struktury kodu i ładowanie na gorąco.
W Nuxt występuje luka umożliwiająca wstrzyknięcie kodu. Gdy serwer jest uruchamiany w trybie programistycznym, zdalny nieautoryzowany atakujący może wykorzystać tę lukę w celu wstrzyknięcia złośliwego kodu i uzyskania dostępu do serwera docelowego. Dotyczy to między innymi Nuxt == 3.4.0, Nuxt == 3.4.1, Nuxt == 3.4.2. W tweecie wspomniano, że duża liczba platform w branży kryptowalut korzysta z tego rozwiązania do tworzenia usług front-end i back-end. Należy pamiętać o ryzyku i zaktualizować Nuxt do wersji 3.4.3 lub nowszej.