← volver
CVE-2026-47429

Vitest: Arbitrary file can be read and executed when Vitest UI server is listening

CVSS 9.8 CRITICALCWE-22
Vexday Risk Score
45Atención
Decisión SSVC (CISA)
Attend
PoC disponible → seguir de cerca
Madurez del exploit
Prueba de concepto
Existe prueba de concepto pública, pero aún no automatizada.
CVSS 9.8EPSS KEV nãoPoC públicaNuclei Metasploit Patch
Ciclo de vida
09 jun 2026PoC pública
14 jul 2026Publicada en NVD
Recomendación: Planificar corrección próxima — ya existe PoC pública.
Vitest is a testing framework powered by Vite. Prior to 3.2.5 and 4.1.0, the Vitest UI/API server on Windows used isFileServingAllowed incorrectly for /__vitest_attachment__, allowing \\?\\..\\ path traversal to read files outside the project; exposed API write and rerun features such as saveTestFile and rerun could also allow arbitrary script execution. This issue is fixed in versions 3.2.5 and 4.1.0.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
vitest-dev · vitest
PoCs públicas encontradas1
githubgithub.com/az9713/cve-lite-on-pi0
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.