Plataforma
nodejs
Componente
vite
Corregido en
5.4.21
6.0.1
7.0.1
7.1.1
7.1.5
Se ha identificado una vulnerabilidad en Vite, una herramienta de construcción de frontend, que permite servir archivos HTML no autorizados. Esta situación ocurre cuando el servidor de desarrollo de Vite está expuesto a la red, ya sea a través de la opción --host o la configuración server.host, y se utilizan appType: 'spa' o appType: 'mpa'. La vulnerabilidad también afecta al servidor de vista previa, permitiendo el acceso a archivos fuera del directorio de salida.
El impacto principal de esta vulnerabilidad radica en la exposición potencial de archivos HTML confidenciales que no deberían ser accesibles desde la red. Un atacante podría, por ejemplo, acceder a archivos de configuración, plantillas internas o cualquier otro archivo HTML almacenado en el sistema que no esté destinado a ser servido públicamente. Aunque la severidad es baja, la exposición de información sensible podría comprometer la seguridad de la aplicación y la infraestructura subyacente. La vulnerabilidad es similar a escenarios donde se configuran incorrectamente los servidores web, permitiendo el acceso a directorios raíz.
Esta vulnerabilidad fue publicada el 9 de septiembre de 2025. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas. Aunque no se han publicado pruebas de concepto (PoC) públicas, la naturaleza de la vulnerabilidad sugiere que podría ser explotada relativamente fácilmente por atacantes con conocimientos técnicos básicos.
Development teams using Vite in environments where the development server is inadvertently exposed to the network are at risk. Shared hosting environments where developers have access to the server's file system are also particularly vulnerable. Organizations using older Vite versions without proper network segmentation should prioritize upgrading.
• nodejs: Monitor for Vite development servers exposed to the network. Use netstat -tulnp or similar tools to identify processes listening on public interfaces.
netstat -tulnp | grep :3000 # Example: check for Vite on port 3000• nodejs: Check for unusual file access patterns within the Vite project directory. Examine application logs for unexpected requests for HTML files.
• generic web: If you suspect compromise, check the Vite configuration file (vite.config.js) for unintended network exposure settings (e.g., server.host set to 0.0.0.0).
disclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
La mitigación principal para esta vulnerabilidad es actualizar Vite a la versión 7.1.5 o superior, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda restringir el acceso al servidor de desarrollo de Vite a una red interna segura, evitando la exposición directa a Internet. Además, se debe revisar la configuración del servidor para asegurar que solo se sirvan los archivos necesarios y que no se permitan rutas de acceso no autorizadas. No existe una solución WAF o proxy específica, pero una configuración restrictiva de firewall puede ayudar a mitigar el riesgo.
Actualice Vite a la versión 7.1.5 o superior. Si no puede actualizar inmediatamente, evite exponer el servidor de desarrollo de Vite a la red (no use `--host` o la opción de configuración `server.host`) y asegúrese de no usar `appType: 'spa'` o `appType: 'mpa'` si es posible. Para el servidor de vista previa, asegúrese de que solo se sirvan los archivos HTML dentro del directorio de salida.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-58752 is a LOW severity vulnerability in Vite versions before 7.1.5 that allows unauthorized HTML files to be served via the development server if it's exposed to the network, potentially leading to information disclosure.
You are affected if you are using Vite versions prior to 7.1.5 and your development server is accessible from the network (e.g., using --host or server.host configured to a public IP).
Upgrade to Vite version 7.1.5 or later. If immediate upgrade isn't possible, restrict network access to the development server.
As of the current date, there are no known active exploits for CVE-2025-58752, but it's still important to mitigate the vulnerability.
Refer to the Vite project's official security advisories and release notes on their GitHub repository: https://github.com/vitejs/vite
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.