PT-2025-12667 · Vite · Vite
Publicado
2025-03-24
·
Atualizado
2026-06-07
·
CVE-2025-30208
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Vite anteriores a 6.2.3, 6.1.2, 6.0.12, 5.4.15 e 4.5.10
Descrição
O Vite, uma ferramenta de desenvolvimento frontend, possui uma vulnerabilidade de bypass de acesso a arquivos. O mecanismo
@fs foi projetado para restringir o acesso a arquivos fora da lista de permissões (allow list) de servir do Vite. No entanto, anexar ?raw?? ou ?import&raw?? a uma URL contorna essa limitação, potencialmente retornando o conteúdo de arquivos arbitrários se eles existirem. Esse bypass ocorre porque separadores finais, como ?, são removidos em vários lugares, mas não são devidamente considerados nas expressões regulares da string de consulta. Isso permite que um atacante leia arquivos arbitrários no sistema. A vulnerabilidade é explorável quando o servidor de desenvolvimento do Vite está exposto à rede usando a opção de configuração --host ou server.host. Milhões de aplicações web podem estar em risco. A vulnerabilidade pode ser explorada criando uma URL específica, como /@fs/etc/passwd?raw?? em sistemas Linux ou /@fs/C://windows/win.ini?import&raw?? em sistemas Windows.Recomendações
Atualize para a versão 6.2.3 ou posterior do Vite.
Atualize para a versão 6.1.2 ou posterior do Vite.
Atualize para a versão 6.0.12 ou posterior do Vite.
Atualize para a versão 5.4.15 ou posterior do Vite.
Atualize para a versão 4.5.10 ou posterior do Vite.
Exploit
Correção
Information Disclosure
RCE
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Vite