CVE-2025-24964

Nome do Software Vulnerável e Versões Afetadas Versões do Vitest de 1.6.0 a 3.0.4

Descrição O Vitest, um framework de testes baseado no Vite, está suscetível à execução arbitrária de código remoto quando acessado via um site malicioso enquanto o servidor API do Vitest estiver em escuta. Isso se deve a uma vulnerabilidade de Sequestro de WebSocket entre sites (CSWSH). Quando a opção api está habilitada (o que a UI do Vitest faz por padrão), o Vitest inicia um servidor WebSocket que não verifica o cabeçalho Origin nem implementa nenhum mecanismo de autorização. Este servidor inclui as APIs saveTestFile e rerun. Um atacante pode explorar isso injetando código em um arquivo de teste usando a API saveTestFile e, em seguida, executando esse código chamando a API rerun, potencialmente levando à execução de código remoto para usuários que utilizam a API serve do Vitest.

Recomendações Atualize para a versão 1.6.1 do Vitest ou posterior. Atualize para a versão 2.1.9 do Vitest ou posterior. Atualize para a versão 3.0.5 do Vitest ou posterior.