IF9.CN 消息,6 月 15 日,据慢雾提示,Nuxt.js 远程代码执行漏洞 (CVE-2023-3224) PoC 在互联网上公开,目前已出现攻击案例。Nuxt.js 是一个基于 Vue.js 的轻量级应用框架,可用来创建服务端渲染 (SSR) 应用,也可充当静态站点引擎生成静态站点应用,具有优雅的代码结构分层和热加载等特性。Nuxt 中存在代码注入漏洞,当服务端以开发模式启动时,远程未授权攻击者可利用此漏洞注入恶意代码并获取目标服务器权限。其中,Nuxt == 3.4.0,Nuxt == 3.4.1,Nuxt == 3.4.2 均受到影响。推文中提到,加密货币行业有大量平台采用此方案构建前后端服务,请注意风险,并将 Nuxt 升级到 3.4.3 或以上版本。