Vite · Vite · CVE-2026-39363
Nome do Software Vulnerável e Versões Afetadas
Vite versões 6.0.0 até 6.4.1, 7.3.2 e 8.0.5
Descrição
Vite, um framework de ferramentas frontend para JavaScript, apresentava uma falha onde a verificação `server.fs` não era aplicada ao método `fetchModule` exposto no WebSocket do servidor de desenvolvimento Vite. Se uma conexão ao WebSocket do servidor de desenvolvimento Vite pudesse ser estabelecida sem um cabeçalho Origin, um invasor poderia invocar `fetchModule` através do evento WebSocket personalizado `vite:invoke` e combinar `file://...` com `?raw` (ou `?inline`) para recuperar o conteúdo de arquivos arbitrários no servidor como uma string JavaScript. O controle de acesso aplicado no caminho da solicitação HTTP não era aplicado a esta execução baseada em WebSocket. Isso poderia permitir a exposição de arquivos arbitrários no servidor, incluindo aqueles na máquina de desenvolvimento, ambiente CI ou contêiner.
Recomendações
Atualize o Vite para a versão 6.4.2 ou posterior, 7.3.2 ou 8.0.5.