PT-2026-34601 · Vite · Vite
Jvr2022
·
Publicado
2026-04-16
·
Atualizado
2026-04-23
·
CVE-2026-41211
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:H/A:H |
Name of the Vulnerable Software and Affected Versions
Vite+ versões anteriores a 0.1.17
Description
A função
downloadPackageManager() aceita uma string version não confiável e a utiliza diretamente em caminhos do sistema de arquivos. Isso permite que um chamador utilize caminhos absolutos ou segmentos ../ para escapar da raiz do cache VP HOME/package manager/<pm>/, possibilitando a exclusão, substituição e preenchimento de diretórios fora do local de cache pretendido.Recommendations
Atualizar para a versão 0.1.17.
Exploit
Correção
Path traversal
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Vite