Plataforma
nodejs
Componente
@vitejs/plugin-rsc
Corregido en
0.5.9
0.5.8
El componente @vitejs/plugin-rsc presenta una vulnerabilidad de acceso arbitrario de archivos. Esta falla permite a atacantes, sin autenticación, leer archivos accesibles al proceso de Node.js mediante solicitudes HTTP especialmente diseñadas. La vulnerabilidad afecta a proyectos que utilizan @vitejs/plugin-rsc en modo de desarrollo (vite dev) y se ha solucionado en la versión 0.5.8.
Un atacante puede explotar esta vulnerabilidad enviando una solicitud HTTP con una URL file:// manipulada en el parámetro filename al endpoint /_vitersc_findSourceMapURL. Esto permite la lectura de cualquier archivo al que el proceso de Node.js tenga acceso, lo que podría incluir información sensible como claves API, contraseñas, o código fuente confidencial. El impacto es significativo, especialmente en entornos de desarrollo donde se pueden almacenar archivos de configuración con credenciales. La exposición de estos archivos podría llevar a la comprometer la seguridad de la aplicación y del entorno.
Esta vulnerabilidad se publicó el 16 de diciembre de 2025. No se ha reportado explotación activa en campañas conocidas, pero la facilidad de explotación y la falta de autenticación la convierten en un riesgo potencial. La vulnerabilidad no se encuentra en el KEV de CISA. La existencia de un PoC público podría facilitar la explotación por parte de atacantes.
Developers actively using Vite's RSC plugin in development environments are at the highest risk. This includes teams building single-page applications (SPAs) and server-side rendered (SSR) applications with Vite. Projects utilizing shared development environments or containerized development workflows are also at increased risk due to the potential for lateral movement if the vulnerability is exploited.
• nodejs / supply-chain:
Get-Process | Where-Object {$_.ProcessName -eq 'node' -and $_.CommandLine -match '@vitejs/plugin-rsc'}• nodejs / supply-chain:
Get-ChildItem -Path Env:NODE_PATH -Recurse -Filter '@vitejs/plugin-rsc*' | Select-Object FullName• generic web:
Use curl or wget to attempt accessing /_vitersc_findSourceMapURL?filename=file:///etc/passwd and observe the response. A successful response indicates the vulnerability is present.
disclosure
Estado del Exploit
EPSS
0.54% (67% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 0.5.8 de @vitejs/plugin-rsc, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda deshabilitar el plugin en entornos de producción. Además, se debe revisar la configuración del servidor para asegurar que no se exponga el endpoint /_vitersc_findSourceMapURL al público. Después de la actualización, confirmar que la vulnerabilidad ha sido resuelta intentando acceder al endpoint con una URL file:// manipulada y verificando que se devuelve un error de acceso denegado.
Actualice el paquete `@vitejs/plugin-rsc` a la versión 0.5.8 o superior. Esto solucionará la vulnerabilidad de lectura arbitraria de archivos. Ejecute `npm install @vitejs/plugin-rsc@latest` o `yarn add @vitejs/plugin-rsc@latest` para actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-68155 is a high-severity vulnerability in the @vitejs/plugin-rsc Vite plugin allowing unauthenticated attackers to read files during development. It impacts Vite projects using the RSC plugin.
You are affected if you are a developer using @vitejs/plugin-rsc in your Vite project during development (vite dev).
Upgrade the @vitejs/plugin-rsc package to version 0.5.8 or later. Restrict access to the /_vitersc_findSourceMapURL endpoint as a temporary workaround.
There is currently no evidence of active exploitation, but the ease of exploitation makes it a potential target.
Refer to the official Vite documentation and release notes for updates regarding CVE-2025-68155: [https://vitejs.dev/](https://vitejs.dev/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.