PT-2025-12667 · Vite · Vite

Publicado

2025-03-24

·

Atualizado

2026-06-07

·

CVE-2025-30208

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:C/I:N/A:N
Nome do Software Vulnerável e Versões Afetadas Versões do Vite anteriores a 6.2.3, 6.1.2, 6.0.12, 5.4.15 e 4.5.10
Descrição O Vite, uma ferramenta de desenvolvimento frontend, possui uma vulnerabilidade de bypass de acesso a arquivos. O mecanismo @fs foi projetado para restringir o acesso a arquivos fora da lista de permissões (allow list) de servir do Vite. No entanto, anexar ?raw?? ou ?import&raw?? a uma URL contorna essa limitação, potencialmente retornando o conteúdo de arquivos arbitrários se eles existirem. Esse bypass ocorre porque separadores finais, como ?, são removidos em vários lugares, mas não são devidamente considerados nas expressões regulares da string de consulta. Isso permite que um atacante leia arquivos arbitrários no sistema. A vulnerabilidade é explorável quando o servidor de desenvolvimento do Vite está exposto à rede usando a opção de configuração --host ou server.host. Milhões de aplicações web podem estar em risco. A vulnerabilidade pode ser explorada criando uma URL específica, como /@fs/etc/passwd?raw?? em sistemas Linux ou /@fs/C://windows/win.ini?import&raw?? em sistemas Windows.
Recomendações Atualize para a versão 6.2.3 ou posterior do Vite. Atualize para a versão 6.1.2 ou posterior do Vite. Atualize para a versão 6.0.12 ou posterior do Vite. Atualize para a versão 5.4.15 ou posterior do Vite. Atualize para a versão 4.5.10 ou posterior do Vite.

Exploit

Correção

Information Disclosure

RCE

Improper Access Control

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

BDU:2025-03698
CVE-2025-30208
GHSA-X574-M823-4X7W

Produtos afetados

Vite