プラットフォーム
nodejs
コンポーネント
@vitejs/plugin-rsc
修正版
0.5.9
0.5.8
この脆弱性(CVE-2025-68155)は、Vite RSCプラグイン(@vitejs/plugin-rsc)の/_vitersc_findSourceMapURLエンドポイントに存在します。攻撃者は認証なしで任意のファイルを読み取ることができ、開発環境における機密情報の漏洩につながる可能性があります。影響を受けるのは、vite devコマンドを実行しているプロジェクトで、RSCプラグインが有効になっている開発者です。バージョン0.5.8へのアップデートで修正されています。
この脆弱性を悪用されると、攻撃者はHTTPリクエストのfilenameクエリパラメータにfile://URLを指定することで、Node.jsプロセスがアクセス可能な任意のファイルを読み取ることができます。これは、ソースコード、設定ファイル、機密データなど、広範囲のファイルに影響を及ぼす可能性があります。特に、開発環境では、環境変数やAPIキーなどの機密情報が保存されているファイルが読み取られるリスクがあります。攻撃者は、この情報を利用して、さらなる攻撃を仕掛けたり、システムへの不正アクセスを試みたりする可能性があります。この脆弱性は、開発モードでのみ発生するため、本番環境への直接的な影響は限定的ですが、開発環境のセキュリティが侵害されることで、本番環境への影響が波及する可能性も考慮する必要があります。
この脆弱性は、開発モードでのみ発生するため、本番環境への直接的な攻撃リスクは低いと考えられます。しかし、開発環境が侵害されることで、本番環境への影響が波及する可能性は否定できません。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、公開されている情報に基づいて攻撃者が脆弱性を悪用する可能性はあります。CISAのKEVリストへの登録状況は不明です。
Developers actively using Vite's RSC plugin in development environments are at the highest risk. This includes teams building single-page applications (SPAs) and server-side rendered (SSR) applications with Vite. Projects utilizing shared development environments or containerized development workflows are also at increased risk due to the potential for lateral movement if the vulnerability is exploited.
• nodejs / supply-chain:
Get-Process | Where-Object {$_.ProcessName -eq 'node' -and $_.CommandLine -match '@vitejs/plugin-rsc'}• nodejs / supply-chain:
Get-ChildItem -Path Env:NODE_PATH -Recurse -Filter '@vitejs/plugin-rsc*' | Select-Object FullName• generic web:
Use curl or wget to attempt accessing /_vitersc_findSourceMapURL?filename=file:///etc/passwd and observe the response. A successful response indicates the vulnerability is present.
disclosure
エクスプロイト状況
EPSS
0.54% (67% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への最も効果的な対策は、@vitejs/plugin-rscをバージョン0.5.8にアップデートすることです。アップデートが困難な場合は、開発環境のアクセス制御を強化し、Node.jsプロセスがアクセスできるファイルの範囲を制限することを検討してください。また、WAF(Web Application Firewall)やプロキシサーバーを使用して、file://URLを含むリクエストをブロックすることも有効です。さらに、開発環境のログを監視し、不審なファイルアクセスを検出するためのルールを設定することも推奨されます。アップデート後、vite devを実行し、ファイルアクセスが適切に制限されていることを確認してください。
Actualice el paquete `@vitejs/plugin-rsc` a la versión 0.5.8 o superior. Esto solucionará la vulnerabilidad de lectura arbitraria de archivos. Ejecute `npm install @vitejs/plugin-rsc@latest` o `yarn add @vitejs/plugin-rsc@latest` para actualizar.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-68155は、@vitejs/plugin-rscにおける認証なしの任意ファイル読み込み脆弱性です。開発モードでHTTPリクエストを送信することで、Node.jsプロセスがアクセス可能なファイルを読み取ることができます。
Vite RSCプラグインを開発環境で使用している場合、影響を受ける可能性があります。特に、vite devコマンドを実行しているプロジェクトは注意が必要です。
@vitejs/plugin-rscをバージョン0.5.8にアップデートしてください。アップデートが困難な場合は、開発環境のアクセス制御を強化することを検討してください。
現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、公開されている情報に基づいて攻撃者が脆弱性を悪用する可能性はあります。
@vitejs/plugin-rscの公式アドバイザリは、プロジェクトのGitHubリポジトリで確認できます。