CVE-2026-34405 CVSS 6.1 中危

CVE-2026-34405 Nuxt OG Image属性注入漏洞

披露日期: 2026-03-31

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-34405

漏洞类型

HTML注入/XSS

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Nuxt OG Image

漏洞概述

Nuxt OG Image 6.2.5之前版本存在漏洞，攻击者可通过/_og/d/端点注入任意属性，导致潜在XSS攻击。

技术细节

该漏洞源于Nuxt OG Image组件在处理/_og/d/（旧版为/og-image/）路径请求时，未对用户输入进行充分过滤。攻击者可构造特制请求，将恶意HTML属性注入到生成的页面body中。由于CVSS指标显示需要用户交互（UI:R），这通常表现为反射型XSS。当受害者访问恶意链接时，注入的属性（如事件处理器）被浏览器解析，可能导致脚本执行，进而窃取Cookie或执行未授权操作。

攻击链分析

STEP 1

侦察

确定目标网站使用了存在漏洞的Nuxt OG Image组件（版本<6.2.5）。

STEP 2

构造Payload

攻击者构造包含恶意HTML属性（如事件处理器）的URL，指向/_og/d/端点。

STEP 3

诱导访问

将恶意链接发送给受害者，诱导其点击访问。

STEP 4

渲染与执行

服务器渲染OG Image页面并将恶意属性注入HTML Body，受害者浏览器解析并执行恶意脚本。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

target = "http://victim-site.com/_og/d/"
payload = {
    "path": "/",
    "xss": "\" onmouseover=\"alert(1)\""
}

r = requests.get(target, params=payload)
print(f"Status: {r.status_code}")
print("Check response body for injected attribute.")

影响范围

Nuxt OG Image < 6.2.5

防御指南

临时缓解措施

若无法立即升级，建议在应用网关处禁用或严格校验/_og/d/及/og-image/接口的参数，过滤双引号、等号及on事件等特殊字符。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表