つみかさね

CVE-2026-47200

Medium(5.3)

CVE-2026-47200 — Nuxt ルートミドルウェア未適用(server island ページ)

公開日: 2026-06-03データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
nuxtNuxt Team< 3.21.6 および < 4.4.6
@nuxt/nitro-serverNuxt Team< 3.21.6 および < 4.4.6

対応ガイド

medium|任意セキュリティ修正影響: 限定的

推奨アクション

  1. 1experimental.componentIslands が有効かつ pages/ 配下に .server.vue ファイルがあるか確認する
  2. 2該当ページに definePageMeta({ middleware }) で認証ミドルウェアを設定しているか確認する
  3. 3nuxt v3.21.6 または v4.4.6 以降へアップデートする

影響対象

Nuxt 4 または experimental.componentIslands 有効な Nuxt 3 利用者

補足

  • -server island 機能を使用していない場合は影響を受けません

関連するリリース情報

この脆弱性に関連するフレームワークの最新リリース・修正バージョンを確認できます。

N
Nuxt のリリース情報 →
CVENuxtnpmミドルウェア認証バイパスVue

概要

Nuxt の experimental.componentIslands が有効な場合(Nuxt 4 ではデフォルト)、pages/ 配下の .server.vue ファイルは page_<routeName> というキーで server island として自動登録され、/__nuxt_island/:name エンドポイント経由で SSR レンダリングされます。

この修正以前は、該当エンドポイント経由のリクエストが Vue Router を初期化せずに SSR レンダラーでページコンポーネントを直接レンダリングしていました。そのため、definePageMeta({ middleware }) で宣言したルートミドルウェア(認証チェックなど)が実行されませんでした。

認証ミドルウェアを definePageMeta で設定している .server.vue ページは、/__nuxt_island/page_* 経由で保護をバイパスされる可能性があります。

CVSSベクトル

項目
CVSSスコア5.3(CVSS v4.0 推定)
深刻度Medium
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権不要
CWECWE-862(認証の欠如)

影響を受けるソフトウェア

製品ベンダー影響バージョン
nuxtNuxt Teamv3.21.5 以前、v4.4.5 以前
@nuxt/nitro-serverNuxt Team同上

修正バージョンと回避策

  • 修正バージョン: nuxt v3.21.6 / v4.4.6 以降
  • 回避策: .server.vue ページに認証ミドルウェアのみで保護している場合は、サーバーサイドのルートハンドラーレベルでも追加の認証チェックを実装する

関連リンク

データソース: OSV (Google), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-22029React Router オープンリダイレクト経由XSSCVSS 8

参考リンク

GitHub Advisory:https://github.com/nuxt/nuxt/security/advisories/GHSA-hg3f-28rg-4jxj
GitHub:https://github.com/nuxt/nuxt
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。