CVE-2025-24010
Vite allows any websites to send any requests to the development server and read the response
En resumen
El servidor de desarrollo de Vite acepta solicitudes de cualquier sitio web sin verificaciones de seguridad adecuadas, permitiendo que los atacantes envíen comandos a su entorno local de desarrollo y lean respuestas sensibles. Esto ocurre porque las protecciones CORS no están habilitadas por defecto.
Detalle técnico
La vulnerabilidad proviene de políticas CORS mal configuradas y validación insuficiente del header Origin en conexiones WebSocket en el servidor de desarrollo de Vite. Un atacante puede explotarla mediante solicitudes cross-site desde cualquier origen para ejecutar solicitudes arbitrarias contra el servidor de dev y exfiltrar respuestas.
Resumen generado y traducido por IA a partir de la descripción oficial.
Vite is a frontend tooling framework for javascript. Vite allowed any websites to send any requests to the development server and read the response due to default CORS settings and lack of validation on the Origin header for WebSocket connections. This vulnerability is fixed in 6.0.9, 5.4.12, and 4.5.6.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Productos afectados
vitejs · vite¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →