CVE-2025-24010
Vite allows any websites to send any requests to the development server and read the response
Em resumo
O servidor de desenvolvimento do Vite aceita requisições de qualquer website sem verificações de segurança adequadas, permitindo que atacantes enviem comandos ao seu ambiente local e leiam respostas sensíveis. Isso ocorre porque as proteções CORS não estão ativadas por padrão.
Detalhe técnico
A vulnerabilidade resulta de políticas CORS mal configuradas e validação insuficiente do header Origin em conexões WebSocket no servidor de desenvolvimento do Vite. Um atacante pode explorar isso através de requisições cross-site de qualquer origem para executar requisições arbitrárias contra o servidor de dev e exfiltrar respostas.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Vite is a frontend tooling framework for javascript. Vite allowed any websites to send any requests to the development server and read the response due to default CORS settings and lack of validation on the Origin header for WebSocket connections. This vulnerability is fixed in 6.0.9, 5.4.12, and 4.5.6.
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N
Produtos afetados
vitejs · viteQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →