CVE-2025-24963

Nome do Software Vulnerável e Versões Afetadas: Versões do Vitest anteriores a 2.1.9 Versões do Vitest anteriores a 3.0.4

Descrição: O manipulador screenshot-error no servidor HTTP do modo de navegador responde a qualquer arquivo no sistema de arquivos. Se o servidor for exposto na rede através de browser.api.host: true, um atacante pode enviar uma solicitação para esse manipulador remotamente para obter o conteúdo de arquivos arbitrários. Este problema permite que atacantes leiam arquivos arbitrários no sistema.

Recomendações: Para versões anteriores a 2.1.9, atualize para a versão 2.1.9 ou posterior. Para versões anteriores a 3.0.4, atualize para a versão 3.0.4 ou posterior. Como solução alternativa temporária, considere desativar a configuração browser.api.host: true para impedir a exposição do servidor do modo de navegador à rede. Restrinja o acesso ao manipulador screenshot-error para minimizar o risco de exploração. Evite usar o parâmetro file no manipulador screenshot-error até que o problema seja resolvido.