CVE-2024-31207

Versões do Vite anteriores à 2.9.18

Versões do Vite anteriores à 3.2.10

Versões do Vite anteriores à 4.5.3

Versões do Vite anteriores à 5.0.13

Versões do Vite anteriores à 5.1.7

Versões do Vite anteriores à 5.2.6

O problema está relacionado a um controle de acesso insuficiente no servidor de desenvolvimento do Vite, que pode ser explorado por um invasor remoto para executar código arbitrário. Essa vulnerabilidade afeta aplicativos que definem uma opção personalizada server.fs.deny incluindo padrões com diretórios e expõem explicitamente o servidor de desenvolvimento do Vite à rede. A opção server.fs.deny usa o picomatch com a configuração { matchBase: true }, que, devido a um bug, corresponde apenas ao nome base do arquivo, e não ao caminho. Além disso, o Vite não define { dot: true }, fazendo com que arquivos dotfiles não sejam negados, a menos que sejam explicitamente definidos.

Para versões anteriores à 2.9.18, atualize para a versão 2.9.18 ou posterior.

Para versões anteriores à 3.2.10, atualize para a versão 3.2.10 ou posterior.

Para versões anteriores à 4.5.3, atualize para a versão 4.5.3 ou posterior.

Para versões anteriores à 5.0.13, atualize para a versão 5.0.13 ou posterior.

Para versões anteriores à 5.1.7, atualize para a versão 5.1.7 ou posterior.

Para versões anteriores à 5.2.6, atualize para a versão 5.2.6 ou posterior.

Como solução alternativa temporária, considere restringir o acesso ao servidor de desenvolvimento Vite, não utilizando a opção --host ou definindo server.host como localhost para minimizar o risco de exploração. Evite usar padrões com dire