Nuxtのnuxt/nitro-server等の複数製品における複数の脆弱性
| Title |
Nuxtのnuxt/nitro-server等の複数製品における複数の脆弱性
|
| Summary |
NuxtはVue.jsのためのオープンソースのウェブ開発フレームワークです。Nuxtのバージョン3.11.0から3.21.6未満、および4.0.0-alpha.1から4.4.6未満、さらに@nuxt/nitro-serverのバージョン3.20.0から3.21.6未満、4.0.0-alpha.1から4.4.6未満において、experimental.componentIslandsが有効になっている場合(Nuxt 4ではデフォルト)、pages/以下の任意の.server.vueファイルが自動的にサーバーアイランドとしてキーpage_routeNameで登録され、/__nuxt_island/:nameエンドポイント経由で公開されます。この修正が適用される前は、そのエンドポイントを通じたリクエストがSSRレンダラーによってページコンポーネントを直接レンダリングしており、Vue Routerがインスタンス化されなかったため、ページに宣言されたルートミドルウェア(definePageMeta({middleware})を含む)が実行されていませんでした。この問題はバージョン3.21.6および4.4.6で修正されました。
|
| Possible impacts |
・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
June 12, 2026, midnight |
| Registration Date |
June 16, 2026, 1:40 p.m. |
| Last Update |
June 16, 2026, 1:40 p.m. |
|
CVSS3.0 : 警告
|
| Score |
5.3
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Affected System
| Nuxt |
|
Nuxt 3.11.0 以上 3.21.6 未満
|
|
Nuxt 4.0.0 以上 4.4.6 未満
|
|
nuxt/nitro-server 3.20.0 以上 3.21.6 未満
|
|
nuxt/nitro-server 4.2.0 以上 4.4.6 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月16日]
掲載 |
June 16, 2026, 1:40 p.m. |
NVD Vulnerability Information
CVE-2026-47200
| Summary |
Nuxt is an open-source web development framework for Vue.js. In Nuxt versions 3.11.0 to before 3.21.6 and 4.0.0-alpha.1 to before 4.4.6 and @nuxt/nitro-server versions 3.20.0 to before 3.21.6 and 4.0.0-alpha.1 to before 4.4.6, when experimental.componentIslands is enabled (default in Nuxt 4), any .server.vue file under pages/ is automatically registered as a server island under the key page_<routeName> and exposed via the /__nuxt_island/:name endpoint. Until this fix, requests through that endpoint rendered the page component directly via the SSR renderer without instantiating Vue Router, which meant route middleware declared on the page (including definePageMeta({ middleware })) did not run. This issue has been patched in versions 3.21.6 and 4.4.6.
|
| Publication Date |
June 12, 2026, 11:16 p.m. |
| Registration Date |
June 13, 2026, 4:17 a.m. |
| Last Update |
June 16, 2026, 3:09 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:nuxt:nuxt:*:*:*:*:*:*:*:* |
3.11.0 |
|
|
3.21.6 |
| cpe:2.3:a:nuxt:nuxt:*:*:*:*:*:*:*:* |
4.0.0 |
|
|
4.4.6 |
| cpe:2.3:a:nuxt:nuxt\/nitro-server:*:*:*:*:*:node.js:*:* |
3.20.0 |
|
|
3.21.6 |
| cpe:2.3:a:nuxt:nuxt\/nitro-server:*:*:*:*:*:node.js:*:* |
4.2.0 |
|
|
4.4.6 |
Related information, measures and tools
Common Vulnerabilities List