Een kritieke kwetsbaarheid, CVE-2025-54075, met betrekking tot Cross-site Scripting (XSS) in het @nuxtjs/mdc pakket voor Markdown rendering is ontdekt. Deze kwetsbaarheid stelt een aanvaller in staat om met een <base href="https://aanvaller.tld"> element kwaadwillige scripts in te voegen, waardoor externe scripts, stijlen of afbeeldingen vanaf een aanvallergestuurde bron kunnen worden geladen en uitgevoerd binnen de context van de getroffen site.
Overzicht
Het probleem bevindt zich in het ‘mdc’ product van nuxt-modules, dat is ontworpen om normale Markdown te gebruiken voor documenten die diep interageren met een Vue-component. Versies ouder dan 0.17.2 zijn kwetsbaar voor deze XSS-aanval, waar de aanvaller geen privileges nodig heeft om misbruik te maken.
Aanbevelingen
- Update ‘mdc’ naar versie 0.17.2 of hoger om de kwetsbaarheid te verhelpen.
- Controleer alle systemen en best practices met betrekking tot input-validatie om soortgelijke problemen in de toekomst te voorkomen.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-54075?
Dit is een Cross-site Scripting (XSS) kwetsbaarheid in de Markdown rendering functie van nuxt-modules ‘mdc’, die aanvallers allows externe scripts toe te voegen en uit te voeren op de getroffen site.
Welke systemen zijn kwetsbaar voor CVE-2025-54075?
Alle systemen die een versie van ‘mdc’ ouder dan 0.17.2 gebruiken zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, update naar versie 0.17.2 om de kwetsbaarheid te verhelpen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan externe scripts en content inladen via een kwaadaardige bron, mogelijk leidend tot het uitvoeren van arbitraire JavaScript binnen de context van uw website.
