Plateforme
nodejs
Composant
@vitejs/plugin-rsc
Corrigé dans
0.5.9
0.5.8
La vulnérabilité CVE-2025-68155 concerne un accès arbitraire de fichiers dans le plugin @vitejs/plugin-rsc de Vite. Cette faille permet à un attaquant non authentifié de lire des fichiers accessibles au processus Node.js. Elle affecte les projets utilisant vite dev avec le plugin RSC activé et est corrigée dans la version 0.5.8.
Cette vulnérabilité permet à un attaquant de lire n'importe quel fichier accessible au processus Node.js, à condition que le projet soit en mode développement (vite dev). Les fichiers sensibles, tels que les clés API, les mots de passe, les fichiers de configuration contenant des informations sensibles, ou même le code source confidentiel, peuvent être compromis. L'attaquant n'a besoin d'aucune authentification pour exploiter cette faille, ce qui augmente considérablement le risque. Bien que limitée au mode développement, cette vulnérabilité peut révéler des informations cruciales qui pourraient être utilisées pour attaquer l'environnement de production.
Cette vulnérabilité est publique depuis le 16 décembre 2025. Bien qu'il n'y ait pas d'indication d'exploitation active à ce jour, la simplicité de l'exploitation et l'absence d'authentification rendent cette vulnérabilité potentiellement dangereuse. Un Proof of Concept (PoC) est probablement disponible ou en cours de développement, augmentant le risque d'exploitation rapide.
Developers actively using Vite's RSC plugin in development environments are at the highest risk. This includes teams building single-page applications (SPAs) and server-side rendered (SSR) applications with Vite. Projects utilizing shared development environments or containerized development workflows are also at increased risk due to the potential for lateral movement if the vulnerability is exploited.
• nodejs / supply-chain:
Get-Process | Where-Object {$_.ProcessName -eq 'node' -and $_.CommandLine -match '@vitejs/plugin-rsc'}• nodejs / supply-chain:
Get-ChildItem -Path Env:NODE_PATH -Recurse -Filter '@vitejs/plugin-rsc*' | Select-Object FullName• generic web:
Use curl or wget to attempt accessing /_vitersc_findSourceMapURL?filename=file:///etc/passwd and observe the response. A successful response indicates the vulnerability is present.
disclosure
Statut de l'Exploit
EPSS
0.54% (percentile 67%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour le plugin @vitejs/plugin-rsc vers la version 0.5.8 ou supérieure. En attendant la mise à jour, il est fortement recommandé de désactiver le plugin RSC en production. Si la mise à jour casse l'application, envisagez de revenir à une version antérieure stable du plugin avant d'appliquer les correctifs nécessaires. Il est également conseillé de restreindre l'accès au serveur de développement Vite en utilisant un pare-feu ou des règles de proxy pour limiter l'exposition de l'endpoint vulnérable.
Actualice el paquete `@vitejs/plugin-rsc` a la versión 0.5.8 o superior. Esto solucionará la vulnerabilidad de lectura arbitraria de archivos. Ejecute `npm install @vitejs/plugin-rsc@latest` o `yarn add @vitejs/plugin-rsc@latest` para actualizar.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-68155 is a high-severity vulnerability in the @vitejs/plugin-rsc Vite plugin allowing unauthenticated attackers to read files during development. It impacts Vite projects using the RSC plugin.
You are affected if you are a developer using @vitejs/plugin-rsc in your Vite project during development (vite dev).
Upgrade the @vitejs/plugin-rsc package to version 0.5.8 or later. Restrict access to the /_vitersc_findSourceMapURL endpoint as a temporary workaround.
There is currently no evidence of active exploitation, but the ease of exploitation makes it a potential target.
Refer to the official Vite documentation and release notes for updates regarding CVE-2025-68155: [https://vitejs.dev/](https://vitejs.dev/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.