Jtmcdole

**Nome do software vulnerável e versões afetadas** Versões do Vite anteriores à 2.9.18 Versões do Vite anteriores à 3.2.10 Versões do Vite anteriores à 4.5.3 Versões do Vite anteriores à 5.0.13 Versões do Vite anteriores à 5.1.7 Versões do Vite anteriores à 5.2.6 **Descrição** O problema está relacionado a um controle de acesso insuficiente no servidor de desenvolvimento do Vite, que pode ser explorado por um invasor remoto para executar código arbitrário. Essa vulnerabilidade afeta aplicativos que definem uma opção personalizada `server.fs.deny` incluindo padrões com diretórios e expõem explicitamente o servidor de desenvolvimento do Vite à rede. A opção `server.fs.deny` usa o picomatch com a configuração `{ matchBase: true }`, que, devido a um bug, corresponde apenas ao nome base do arquivo, e não ao caminho. Além disso, o Vite não define `{ dot: true }`, fazendo com que arquivos dotfiles não sejam negados, a menos que sejam explicitamente definidos. **Recomendações** Para versões anteriores à 2.9.18, atualize para a versão 2.9.18 ou posterior. Para versões anteriores à 3.2.10, atualize para a versão 3.2.10 ou posterior. Para versões anteriores à 4.5.3, atualize para a versão 4.5.3 ou posterior. Para versões anteriores à 5.0.13, atualize para a versão 5.0.13 ou posterior. Para versões anteriores à 5.1.7, atualize para a versão 5.1.7 ou posterior. Para versões anteriores à 5.2.6, atualize para a versão 5.2.6 ou posterior. Como solução alternativa temporária, considere restringir o acesso ao servidor de desenvolvimento Vite, não utilizando a opção `--host` ou definindo `server.host` como `localhost` para minimizar o risco de exploração. Evite usar padrões com dire