CVE-2025-32395

Nome do Software Vulnerável e Versões Afetadas Versões do Vite anteriores a 6.2.6 Versões do Vite anteriores a 6.1.5 Versões do Vite anteriores a 6.0.15 Versões do Vite anteriores a 5.4.18 Versões do Vite anteriores a 4.5.13

Descrição O Vite é um framework de ferramentas de frontend para JavaScript. O conteúdo de arquivos arbitrários pode ser retornado ao navegador se o servidor de desenvolvimento estiver em execução no Node ou Bun. A especificação HTTP 1.1 (RFC 9112) não permite # no request-target. Embora um atacante possa enviar tal requisição, para aquelas requisições com uma request-line inválida, a especificação recomenda rejeitá-las com 400 ou 301. No Node e no Bun, essas requisições não são rejeitadas internamente e são repassadas para o espaço do usuário. Para essas requisições, o valor de http.IncomingMessage.url contém #. O Vite presumia que req.url não conteria # ao verificar server.fs.deny, permitindo que esses tipos de requisições contornassem a verificação. Apenas aplicativos que expõem explicitamente o servidor de desenvolvimento do Vite à rede e executam o servidor de desenvolvimento do Vite em runtimes que não sejam Deno (por exemplo, Node, Bun) são afetados. Mais de 130.000 serviços estão potencialmente afetados.

Recomendações Para resolver o problema nas versões anteriores a 6.2.6, atualize para a versão 6.2.6 ou posterior. Para resolver o problema nas versões anteriores a 6.1.5, atualize para a versão 6.1.5 ou posterior. Para resolver o problema nas versões anteriores a 6.0.15, atualize para a versão 6.0.15 ou posterior. Para resolver o problema nas versões anteriores a 5.4.18, atualize para a versão 5.4.18 ou posterior. Para resolver o problema nas versões anteriores a 4.5.13, atualize para a versão 4.5.13 ou posterior.