Platform
nodejs
Component
@vitejs/plugin-rsc
Opgelost in
0.5.9
0.5.8
CVE-2025-68155 describes an arbitrary file access vulnerability within the @vitejs/plugin-rsc plugin for Vite, specifically during development mode (vite dev). This allows unauthenticated attackers to read files accessible to the Node.js process by manipulating the filename query parameter. The vulnerability impacts developers utilizing the plugin and projects running vite dev with the RSC plugin enabled, and a fix is available in version 0.5.8.
Een succesvolle exploitatie van deze kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige informatie die op de server is opgeslagen, zoals configuratiebestanden, API-sleutels of broncode. Aangezien de kwetsbaarheid zich in de ontwikkelingsmodus bevindt, is de directe impact op productieomgevingen beperkt. Echter, een aanvaller kan de gelezen bestanden gebruiken om inzicht te krijgen in de applicatiearchitectuur en potentiële aanvallen op de productieomgeving te plannen. Het misbruik van deze kwetsbaarheid kan vergelijkbaar zijn met het blootleggen van gevoelige data via onbeveiligde directory listing, maar dan via een specifieke endpoint.
Deze kwetsbaarheid is openbaar bekend en er zijn geen bekende actieve campagnes gemeld. Er zijn geen public proof-of-concepts (POC's) gevonden op het moment van schrijven. De kwetsbaarheid is gepubliceerd op 2025-12-16. De ernst wordt momenteel geëvalueerd.
Developers actively using Vite's RSC plugin in development environments are at the highest risk. This includes teams building single-page applications (SPAs) and server-side rendered (SSR) applications with Vite. Projects utilizing shared development environments or containerized development workflows are also at increased risk due to the potential for lateral movement if the vulnerability is exploited.
• nodejs / supply-chain:
Get-Process | Where-Object {$_.ProcessName -eq 'node' -and $_.CommandLine -match '@vitejs/plugin-rsc'}• nodejs / supply-chain:
Get-ChildItem -Path Env:NODE_PATH -Recurse -Filter '@vitejs/plugin-rsc*' | Select-Object FullName• generic web:
Use curl or wget to attempt accessing /_vitersc_findSourceMapURL?filename=file:///etc/passwd and observe the response. A successful response indicates the vulnerability is present.
disclosure
Exploit Status
EPSS
0.54% (67% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden van @vitejs/plugin-rsc naar versie 0.5.8 of hoger. Indien een upgrade niet direct mogelijk is, kan de /_vitersc_findSourceMapURL endpoint worden geblokkeerd via een Web Application Firewall (WAF) of reverse proxy. Controleer ook de toegangsrechten van de Node.js processen om te zorgen dat ze alleen toegang hebben tot de noodzakelijke bestanden. Verder kan het uitschakelen van de ontwikkelingsmodus (vite dev) in productieomgevingen de kwetsbaarheid effectief elimineren.
Actualice el paquete `@vitejs/plugin-rsc` a la versión 0.5.8 o superior. Esto solucionará la vulnerabilidad de lectura arbitraria de archivos. Ejecute `npm install @vitejs/plugin-rsc@latest` o `yarn add @vitejs/plugin-rsc@latest` para actualizar.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-68155 is a high-severity vulnerability in the @vitejs/plugin-rsc Vite plugin allowing unauthenticated attackers to read files during development. It impacts Vite projects using the RSC plugin.
You are affected if you are a developer using @vitejs/plugin-rsc in your Vite project during development (vite dev).
Upgrade the @vitejs/plugin-rsc package to version 0.5.8 or later. Restrict access to the /_vitersc_findSourceMapURL endpoint as a temporary workaround.
There is currently no evidence of active exploitation, but the ease of exploitation makes it a potential target.
Refer to the official Vite documentation and release notes for updates regarding CVE-2025-68155: [https://vitejs.dev/](https://vitejs.dev/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.