Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en MDC (CVE-2025-54075)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
18/07/2025
Última modificación:
22/07/2025

Descripción

MDC es una herramienta para usar Markdown estándar y escribir documentos que interactúan estrechamente con un componente de Vue. Antes de la versión 0.17.2, una vulnerabilidad de inclusión remota de scripts y cross-site scripting almacenado en @nuxtjs/mdc permitía a un autor de Markdown inyectar un elemento ``. La etiqueta `` reescribe la resolución de todas las URL relativas subsiguientes, de modo que un atacante puede hacer que la página cargue scripts, estilos o imágenes desde un origen externo controlado por el atacante y ejecutar JavaScript arbitrario en el contexto del sitio. La versión 0.17.2 contiene una solución para este problema.