Orihjfrog

Nome do Software Vulnerável e Versões Afetadas: Versões do Vite anteriores a 7.1.5 Versões do Vite anteriores a 7.0.7 Versões do Vite anteriores a 6.3.6 Versões do Vite anteriores a 5.4.20 Descrição: O Vite é um framework de ferramentas de frontend para JavaScript. Antes das versões 7.1.5, 7.0.7, 6.3.6 e 5.4.20, arquivos começando com o mesmo nome dentro do diretório público poderiam ser servidos, contornando as configurações `server.fs`. Apenas aplicações que expõem explicitamente o servidor de desenvolvimento do Vite à rede (usando a opção --host ou a configuração `server.host`), utilizam a funcionalidade do diretório público (habilitada por padrão) e contêm um link simbólico no diretório público são afetadas. Recomendações: Atualizar para a versão 7.1.5 do Vite ou posterior. Atualizar para a versão 7.0.7 do Vite ou posterior. Atualizar para a versão 6.3.6 do Vite ou posterior. Atualizar para a versão 5.4.20 do Vite ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do Vite anteriores a 7.1.5 Versões do Vite anteriores a 7.0.7 Versões do Vite anteriores a 6.3.6 Versões do Vite anteriores a 5.4.20 Descrição: O Vite é um framework de ferramentas de frontend para JavaScript. Antes das versões 7.1.5, 7.0.7, 6.3.6 e 5.4.20, quaisquer arquivos HTML na máquina eram servidos, independentemente das configurações de `server.fs`. Apenas aplicações que expõem explicitamente o servidor de desenvolvimento do Vite à rede (usando a opção de configuração `--host` ou `server.host`) e utilizam `appType: 'spa'` (padrão) ou `appType: 'mpa'` são afetadas. Este problema também afeta o servidor de preview, que permitia que arquivos HTML fora do diretório de saída fossem servidos. Recomendações: Atualize para a versão 7.1.5 do Vite ou posterior. Atualize para a versão 7.0.7 do Vite ou posterior. Atualize para a versão 6.3.6 do Vite ou posterior. Atualize para a versão 5.4.20 do Vite ou posterior.

**Name of the Vulnerable Software and Affected Versions** webfinger.js versions 2.8.0 and below **Description** webfinger.js is a TypeScript-based WebFinger client used in browser and Node.js environments. The `lookup` function does not prevent access to localhost services, only checking for hosts that start with "localhost" and end with a port. This allows attackers to perform blind Server-Side Request Forgery (SSRF) attacks by sending GET requests with controlled host, path, and port parameters to query services on the instance's host or local network. **Recommendations** Update to version 2.8.1 or later.