CVE-2026-39363

Nome do Software Vulnerável e Versões Afetadas Vite versões 6.0.0 até 6.4.1, 7.3.2 e 8.0.5

Descrição Vite, um framework de ferramentas frontend para JavaScript, apresentava uma falha onde a verificação server.fs não era aplicada ao método fetchModule exposto no WebSocket do servidor de desenvolvimento Vite. Se uma conexão ao WebSocket do servidor de desenvolvimento Vite pudesse ser estabelecida sem um cabeçalho Origin, um invasor poderia invocar fetchModule através do evento WebSocket personalizado vite:invoke e combinar file://... com ?raw (ou ?inline) para recuperar o conteúdo de arquivos arbitrários no servidor como uma string JavaScript. O controle de acesso aplicado no caminho da solicitação HTTP não era aplicado a esta execução baseada em WebSocket. Isso poderia permitir a exposição de arquivos arbitrários no servidor, incluindo aqueles na máquina de desenvolvimento, ambiente CI ou contêiner.

Recomendações Atualize o Vite para a versão 6.4.2 ou posterior, 7.3.2 ou 8.0.5.