Plataforma
nodejs
Componente
vite
Corregido en
5.4.21
6.0.1
7.0.1
7.1.1
7.1.5
Se ha identificado una vulnerabilidad de exposición de archivos en Vite, una herramienta de construcción frontend. Esta vulnerabilidad permite a atacantes acceder a archivos sensibles si se cumplen ciertas condiciones: exposición del servidor de desarrollo a la red, uso del directorio público y la presencia de enlaces simbólicos (symlinks) dentro de este directorio. La vulnerabilidad afecta a las versiones 2.x y 3.x de Vite y se ha solucionado en la versión 7.1.5.
El impacto de esta vulnerabilidad radica en la posibilidad de que un atacante acceda a archivos que no deberían ser accesibles públicamente. Esto podría incluir archivos de configuración, claves API, o incluso código fuente sensible. Un atacante podría explotar esta vulnerabilidad si tiene acceso a la red donde se ejecuta el servidor de desarrollo de Vite. La exposición de archivos a través de symlinks es un patrón de ataque común, y esta vulnerabilidad en Vite presenta un riesgo similar a otros casos donde se permite la manipulación de rutas de archivos. La severidad es baja, pero la facilidad de explotación y el potencial de daño justifican una mitigación rápida.
Esta vulnerabilidad fue publicada el 9 de septiembre de 2025. No se ha reportado explotación activa en entornos reales hasta la fecha. No se ha añadido a la lista KEV de CISA. La probabilidad de explotación se considera baja debido a la necesidad de condiciones específicas para que la vulnerabilidad sea explotable, pero la disponibilidad de la información técnica podría facilitar la explotación en entornos controlados.
Development teams using Vite with the public directory feature enabled and the Vite development server exposed to the network are at risk. This includes projects utilizing symlinks within the public directory, particularly those with less stringent security practices or those running in shared hosting environments where symlink creation might be easier.
• nodejs / server:
find /path/to/vite/public -type l -print # Check for symlinks in the public directory• nodejs / server:
ps aux | grep 'vite --host' # Check for Vite dev server exposed to the network• generic web:
Inspect the Vite configuration file (vite.config.js) for the server.host option. Ensure it is not set to '0.0.0.0' or a public IP address.
disclosure
Estado del Exploit
EPSS
1.42% (80% percentil)
CISA SSVC
La mitigación principal es actualizar Vite a la versión 7.1.5 o superior, donde se ha corregido la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al servidor de desarrollo de Vite a una red interna segura. Evite exponer el servidor de desarrollo a la red pública a menos que sea absolutamente necesario. Además, revise la configuración de Vite para asegurarse de que el directorio público no contenga enlaces simbólicos innecesarios. Implementar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes a archivos dentro del directorio público que contengan caracteres sospechosos relacionados con symlinks podría ser una medida temporal.
Actualice Vite a la versión 5.4.20, 6.3.6, 7.0.7 o 7.1.5, o a una versión posterior. Esto corrige la vulnerabilidad que permite servir archivos desde el directorio público de forma insegura. Asegúrese de no exponer el servidor de desarrollo de Vite a la red sin las debidas precauciones.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-58751 is a directory traversal vulnerability in Vite affecting versions before 7.1.5. It allows attackers to access files outside the intended public directory if the Vite dev server is exposed and symlinks are present.
You are affected if you are using Vite versions prior to 7.1.5, have the public directory feature enabled, and your Vite development server is accessible over the network with symlinks in the public directory.
Upgrade to Vite version 7.1.5 or later. As a temporary workaround, disable the public directory feature by removing any symlinks within the public directory.
Active exploitation is not currently confirmed, but the vulnerability's ease of exploitation warrants attention and proactive mitigation.
Refer to the Vite project's official security advisories and release notes on their GitHub repository: https://github.com/vitejs/vite
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.