CVE-2024-0105

CRÍTIC (9,3)

CVSS3: 0,0

MDC és una eina per fer servir Markdown regularment i escriure documents que interactuen profundament amb un component Vue. A les versions afectades, la lògica d’anàlisi no segura de l’URL des de la reducció pot conduir a codi JavaScript arbitrari a causa d’una omissió de les guardes existents al voltant de l’esquema de protocol ‘javascript:’ a l’URL. La implementació de la lògica d’anàlisi a ‘props.ts’ manté un enfocament de llista de denegació per filtrar una possible càrrega útil maliciosa. Ho fa fent coincidir esquemes de protocol com ara ‘javascript:’ i altres.

Sistemes Afectats

• nuxt-modules mdc – < 0.13.3

Remediació
No hi ha cap recurs disponible a partir del 6 de febrer del 2025.

Referències

• https://github.com/nuxt-modules/mdc/security/advisories/GHSA-j82m-pc2v-2484
• https://github.com/nuxt-modules/mdc/commit/99097738b5561639e9bf247c55d8103236618bf3
• https://github.com/nuxt-modules/mdc/blob/main/src/runtime/parser/utils/props.ts#L16