漏洞描述
Nuxt 是一个免费的开源框架,它以一种直观的、可扩展的方式,用Vue.js创建类型安全、性能良好和生产级的全栈Web应用程序和网站。Nuxt.js(简称 Nuxt)是一个基于 Vue.js 的通用应用框架,用于构建服务端渲染的应用程序(SSR)和静态生成的网站。 Nuxt.js 3.4.3之前版本中的 test-component-wrapper 组件的动态导入函数存在代码注入漏洞,当服务器在开发模式下运行且Node.js的版本为 12+ 时,攻击者可以利用 EMCAScript 的 'data: import' 功能导入恶意载荷,进而远程执行恶意代码。