PT-2025-38576 · Cloudflare · Cloudflared+2
Cherry
·
Publicado
2025-07-08
·
Atualizado
2025-09-19
·
CVE-2025-59427
CVSS v4.0
6.9
Média
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/E:P |
Nome do Software Vulnerável e Versões Afetadas
Versões do plugin Cloudflare Vite anteriores a 1.6.0
Descrição
O plugin Cloudflare Vite, quando usado com sua configuração padrão, expõe arquivos do diretório raiz via servidor de desenvolvimento local. Isso inclui arquivos sensíveis como
.env e .dev.vars, que podem conter informações secretas. Se o servidor de desenvolvimento for exposto em uma rede pública, um atacante pode conseguir obter esses segredos. Isso pode ocorrer ao usar ferramentas como wrangler ou cloudflared sem a configuração adequada. Arquivos expostos também podem incluir package.json e README.md, potencialmente revelando dependências e documentação interna.Recomendações
As versões do plugin Cloudflare Vite anteriores a 1.6.0 devem ser atualizadas para a versão 1.6.0 ou posterior.
Exploit
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
@Cloudflare/Vite-Plugin
Cloudflared
Wrangler