CVE-2025-24010

Nome do Software Vulnerável e Versões Afetadas Versões do Vite anteriores a 6.0.9 Versões do Vite anteriores a 5.4.12 Versões do Vite anteriores a 4.5.6

Descrição O Vite permitia que quaisquer sites enviassem quaisquer solicitações ao servidor de desenvolvimento e lessem a resposta devido às configurações padrão de CORS e à falta de validação no cabeçalho Origin para conexões WebSocket. Este problema é causado por três fatores: configurações padrão de CORS permissivas, falta de validação no cabeçalho Origin para conexões WebSocket e falta de validação no cabeçalho Host para solicitações HTTP. Atacantes podem explorar essas vulnerabilidades para roubar código-fonte, acessar funcionalidades que não deveriam ser expostas externamente e explorar funcionalidades acionadas por mensagens via WebSocket.

Recomendações Para versões anteriores a 6.0.9, atualize para a versão 6.0.9 ou posterior. Para versões anteriores a 5.4.12, atualize para a versão 5.4.12 ou posterior. Para versões anteriores a 4.5.6, atualize para a versão 4.5.6 ou posterior. Como solução temporária, considere definir server.cors como false ou limitar server.cors.origin a origens confiáveis. Para usuários que utilizam o recurso de integração de backend, adicione a origem do servidor de backend à opção server.cors.origin. Para usuários que utilizam um proxy reverso à frente do Vite, adicione o nome do host à nova opção server.allowedHosts. Para usuários que acessam o servidor de desenvolvimento via um domínio diferente de localhost ou *.localhost, adicione o nome do host à opção server.allowedHosts. Para usuários que utilizam um plugin ou framework que se conecta ao servidor WebSocket por conta própria a partir do navegador, tente atualizar para uma versão mais recente do Vite que corrige a vulnerabilidade ou defina legacy.skipWebSocketTokenCheck: true para desativar a correção.