慢雾：Nuxt.js にリモートコード実行の脆弱性攻撃事例が発生しました。関係者は速やかにアップグレードしてください。

ChainCatcher のメッセージによると、SlowMist のツイートで、Nuxt.js のリモートコード実行脆弱性 (CVE-2023-3224) の PoC がインターネット上に公開され、現在攻撃の事例が発生しています。Nuxt.js は Vue.js に基づいた軽量アプリケーションフレームワークで、サーバーサイドレンダリング (SSR) アプリケーションを作成するために使用されるほか、静的サイトエンジンとして静的サイトアプリケーションを生成することもでき、優雅なコード構造の層分けやホットリロードなどの特性を持っています。

Nuxt にはコードインジェクションの脆弱性が存在し、サーバーが開発モードで起動しているときに、リモートの未承認の攻撃者がこの脆弱性を利用して悪意のあるコードを注入し、ターゲットサーバーの権限を取得することができます。その中で、Nuxt == 3.4.0、Nuxt == 3.4.1、Nuxt == 3.4.2 はすべて影響を受けています。暗号通貨業界にはこのソリューションを使用して前後端サービスを構築しているプラットフォームが多数存在しますので、リスクに注意し、Nuxt を 3.4.3 以上のバージョンにアップグレードしてください。(出典リンク)