प्लेटफ़ॉर्म
nodejs
घटक
@vitejs/plugin-rsc
में ठीक किया गया
0.5.9
0.5.8
CVE-2025-68155 @vitejs/plugin-rsc प्लगइन में अनधिकृत फ़ाइल एक्सेस की भेद्यता है। यह भेद्यता हमलावरों को विकास मोड (vite dev) में Node.js प्रक्रिया द्वारा एक्सेस की जा सकने वाली किसी भी फ़ाइल को पढ़ने की अनुमति देती है। प्रभावित उपयोगकर्ता @vitejs/plugin-rsc का उपयोग कर रहे हैं और विकास मोड में हैं। इस समस्या को 0.5.8 में अपग्रेड करके ठीक किया जा सकता है।
यह भेद्यता हमलावरों को विकास परिवेश में संवेदनशील जानकारी तक पहुँचने की अनुमति देती है, जैसे कि कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड, या अन्य गोपनीय डेटा। हमलावर फ़ाइल सिस्टम को सूचीबद्ध करने या अन्य फ़ाइलों को संशोधित करने के लिए इस भेद्यता का उपयोग कर सकते हैं, जिससे संभावित रूप से एप्लिकेशन की सुरक्षा और अखंडता से समझौता हो सकता है। चूंकि यह भेद्यता विकास मोड तक ही सीमित है, इसलिए उत्पादन परिवेश में इसका सीधा प्रभाव कम होता है, लेकिन विकास परिवेश में संवेदनशील जानकारी का खुलासा एक महत्वपूर्ण जोखिम है।
यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका शोषण करने के लिए सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (POC) मौजूद हो सकते हैं। CISA ने अभी तक इस भेद्यता को KEV में शामिल नहीं किया है, लेकिन इसकी गंभीरता को देखते हुए भविष्य में ऐसा हो सकता है। हमलावरों द्वारा इसका सक्रिय शोषण होने की संभावना है, खासकर उन परियोजनाओं में जो अभी तक पैच नहीं किए गए हैं।
Developers actively using Vite's RSC plugin in development environments are at the highest risk. This includes teams building single-page applications (SPAs) and server-side rendered (SSR) applications with Vite. Projects utilizing shared development environments or containerized development workflows are also at increased risk due to the potential for lateral movement if the vulnerability is exploited.
• nodejs / supply-chain:
Get-Process | Where-Object {$_.ProcessName -eq 'node' -and $_.CommandLine -match '@vitejs/plugin-rsc'}• nodejs / supply-chain:
Get-ChildItem -Path Env:NODE_PATH -Recurse -Filter '@vitejs/plugin-rsc*' | Select-Object FullName• generic web:
Use curl or wget to attempt accessing /_vitersc_findSourceMapURL?filename=file:///etc/passwd and observe the response. A successful response indicates the vulnerability is present.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.54% (67% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, @vitejs/plugin-rsc को संस्करण 0.5.8 या बाद के संस्करण में तुरंत अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो विकास परिवेश में सार्वजनिक रूप से एक्सेसिबल फ़ाइलों की संख्या को कम करने के लिए अतिरिक्त सुरक्षा उपाय लागू करें। फ़ायरवॉल या वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके /_vitersc_findSourceMapURL एंडपॉइंट तक पहुंच को सीमित करने पर विचार करें। विकास परिवेश को उत्पादन परिवेश से अलग रखें ताकि संवेदनशील जानकारी का अनधिकृत एक्सेस रोका जा सके।
Actualice el paquete `@vitejs/plugin-rsc` a la versión 0.5.8 o superior. Esto solucionará la vulnerabilidad de lectura arbitraria de archivos. Ejecute `npm install @vitejs/plugin-rsc@latest` o `yarn add @vitejs/plugin-rsc@latest` para actualizar.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-68155 @vitejs/plugin-rsc प्लगइन में एक भेद्यता है जो हमलावरों को विकास मोड में अनधिकृत फ़ाइल एक्सेस करने की अनुमति देती है।
यदि आप विकास मोड में @vitejs/plugin-rsc का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
प्लगइन को संस्करण 0.5.8 या बाद के संस्करण में अपग्रेड करें।
यह सार्वजनिक रूप से ज्ञात है और शोषण के लिए POC मौजूद हो सकते हैं, इसलिए सक्रिय शोषण की संभावना है।
आधिकारिक सलाहकार के लिए @vitejs की वेबसाइट या GitHub रिपॉजिटरी देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।