Plataforma
nodejs
Componente
vite
Corrigido em
5.4.21
6.0.1
7.0.1
7.1.1
7.1.5
Uma vulnerabilidade foi descoberta no Vite, permitindo a exposição de arquivos através de symlinks no diretório público. Essa falha ocorre quando o servidor de desenvolvimento do Vite é exposto à rede e o diretório público está habilitado, permitindo o acesso a arquivos que não deveriam estar acessíveis. A vulnerabilidade afeta versões anteriores a 7.1.5 e foi publicada em 9 de setembro de 2025. A correção está disponível na versão 7.1.5.
A vulnerabilidade CVE-2025-58751 permite que um atacante acesse arquivos confidenciais no servidor, desde que ele consiga criar um symlink no diretório público do Vite. Isso pode incluir arquivos de configuração, código-fonte ou outros dados sensíveis. O impacto é limitado à exposição de arquivos, sem permitir a execução de código arbitrário. A exploração bem-sucedida requer que o servidor de desenvolvimento do Vite esteja exposto à rede (através da opção --host ou server.host na configuração) e que o diretório público esteja habilitado, o que é o padrão. A ausência de autenticação torna a exploração relativamente simples.
A vulnerabilidade CVE-2025-58751 foi publicada em 9 de setembro de 2025. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) até o momento. A pontuação CVSS é de 2.5 (LOW), indicando uma probabilidade baixa de exploração. Não há public proof-of-concept (PoC) amplamente divulgado.
Development teams using Vite with the public directory feature enabled and the Vite development server exposed to the network are at risk. This includes projects utilizing symlinks within the public directory, particularly those with less stringent security practices or those running in shared hosting environments where symlink creation might be easier.
• nodejs / server:
find /path/to/vite/public -type l -print # Check for symlinks in the public directory• nodejs / server:
ps aux | grep 'vite --host' # Check for Vite dev server exposed to the network• generic web:
Inspect the Vite configuration file (vite.config.js) for the server.host option. Ensure it is not set to '0.0.0.0' or a public IP address.
disclosure
Status do Exploit
EPSS
1.42% (percentil 80%)
CISA SSVC
A principal mitigação para CVE-2025-58751 é atualizar o Vite para a versão 7.1.5 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere desabilitar a exposição do servidor de desenvolvimento do Vite à rede, restringindo o acesso apenas ao localhost. Outra opção é remover ou proteger os arquivos sensíveis no diretório público, garantindo que não possam ser acessados através de symlinks. Não há detecção de intrusão específica conhecida, mas monitorar o acesso ao diretório público pode ajudar a identificar tentativas de exploração.
Atualize Vite para a versão 5.4.20, 6.3.6, 7.0.7 ou 7.1.5, ou para uma versão posterior. Isso corrige a vulnerabilidade que permite servir arquivos do diretório público de forma insegura. Certifique-se de não expor o servidor de desenvolvimento de Vite para a rede sem as devidas precauções.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-58751 is a directory traversal vulnerability in Vite affecting versions before 7.1.5. It allows attackers to access files outside the intended public directory if the Vite dev server is exposed and symlinks are present.
You are affected if you are using Vite versions prior to 7.1.5, have the public directory feature enabled, and your Vite development server is accessible over the network with symlinks in the public directory.
Upgrade to Vite version 7.1.5 or later. As a temporary workaround, disable the public directory feature by removing any symlinks within the public directory.
Active exploitation is not currently confirmed, but the vulnerability's ease of exploitation warrants attention and proactive mitigation.
Refer to the Vite project's official security advisories and release notes on their GitHub repository: https://github.com/vitejs/vite
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.