← voltar
CVE-2026-47429

Vitest: Arbitrary file can be read and executed when Vitest UI server is listening

CVSS 9.8 CRITICALCWE-22
Vexday Risk Score
45Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
Maturidade do exploit
Prova de conceito
Existe prova de conceito pública, mas ainda não automatizada.
CVSS 9.8EPSS KEV nãoPoC públicaNuclei Metasploit Patch
Ciclo de vida
09 jun 2026PoC pública
14 jul 2026Publicada no NVD
Recomendação: Planejar correção próxima — já existe PoC pública.
Vitest is a testing framework powered by Vite. Prior to 3.2.5 and 4.1.0, the Vitest UI/API server on Windows used isFileServingAllowed incorrectly for /__vitest_attachment__, allowing \\?\\..\\ path traversal to read files outside the project; exposed API write and rerun features such as saveTestFile and rerun could also allow arbitrary script execution. This issue is fixed in versions 3.2.5 and 4.1.0.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
vitest-dev · vitest
PoCs públicas encontradas1
githubgithub.com/az9713/cve-lite-on-pi0
⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.