Plataforma
nodejs
Componente
@vitejs/plugin-rsc
Corrigido em
0.5.9
0.5.8
A vulnerabilidade CVE-2025-68155 é uma falha de acesso arbitrário de arquivos no endpoint /_vitersc_findSourceMapURL do plugin @vitejs/plugin-rsc. Um atacante pode explorar essa falha para ler qualquer arquivo acessível ao processo Node.js, enviando uma requisição HTTP maliciosa com um URL file:// no parâmetro de consulta filename. Essa vulnerabilidade afeta desenvolvedores que utilizam o plugin durante o modo de desenvolvimento (vite dev) e foi corrigida na versão 0.5.8.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante leia arquivos arbitrários no sistema de arquivos do servidor, desde que o processo Node.js tenha permissão para acessá-los. Isso pode levar à exposição de informações confidenciais, como chaves de API, senhas, código-fonte e dados de configuração. Em um ambiente de desenvolvimento, isso pode resultar no comprometimento de todo o projeto e potencialmente permitir o acesso a outros sistemas na rede, dependendo das permissões do processo Node.js. Embora a vulnerabilidade seja restrita ao modo de desenvolvimento, a exposição de informações sensíveis durante o desenvolvimento pode ter consequências graves para a segurança da aplicação em produção.
A vulnerabilidade foi divulgada em 2025-12-16. Não há informações disponíveis sobre a inclusão em KEV ou a existência de exploits públicos. A probabilidade de exploração é considerada baixa a média, dependendo da exposição do endpoint e da conscientização dos desenvolvedores sobre a vulnerabilidade.
Developers actively using Vite's RSC plugin in development environments are at the highest risk. This includes teams building single-page applications (SPAs) and server-side rendered (SSR) applications with Vite. Projects utilizing shared development environments or containerized development workflows are also at increased risk due to the potential for lateral movement if the vulnerability is exploited.
• nodejs / supply-chain:
Get-Process | Where-Object {$_.ProcessName -eq 'node' -and $_.CommandLine -match '@vitejs/plugin-rsc'}• nodejs / supply-chain:
Get-ChildItem -Path Env:NODE_PATH -Recurse -Filter '@vitejs/plugin-rsc*' | Select-Object FullName• generic web:
Use curl or wget to attempt accessing /_vitersc_findSourceMapURL?filename=file:///etc/passwd and observe the response. A successful response indicates the vulnerability is present.
disclosure
Status do Exploit
EPSS
0.54% (percentil 67%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar o plugin @vitejs/plugin-rsc para a versão 0.5.8 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere restringir o acesso ao endpoint /_vitersc_findSourceMapURL através de um firewall de aplicação web (WAF) ou proxy reverso, bloqueando requisições com URLs file://. Além disso, revise as permissões do processo Node.js para garantir que ele tenha acesso apenas aos arquivos e diretórios necessários. Monitore os logs do servidor em busca de requisições suspeitas que tentem acessar arquivos inesperados.
Actualice el paquete `@vitejs/plugin-rsc` a la versión 0.5.8 o superior. Esto solucionará la vulnerabilidad de lectura arbitraria de archivos. Ejecute `npm install @vitejs/plugin-rsc@latest` o `yarn add @vitejs/plugin-rsc@latest` para actualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2025-68155 is a high-severity vulnerability in the @vitejs/plugin-rsc Vite plugin allowing unauthenticated attackers to read files during development. It impacts Vite projects using the RSC plugin.
You are affected if you are a developer using @vitejs/plugin-rsc in your Vite project during development (vite dev).
Upgrade the @vitejs/plugin-rsc package to version 0.5.8 or later. Restrict access to the /_vitersc_findSourceMapURL endpoint as a temporary workaround.
There is currently no evidence of active exploitation, but the ease of exploitation makes it a potential target.
Refer to the official Vite documentation and release notes for updates regarding CVE-2025-68155: [https://vitejs.dev/](https://vitejs.dev/)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.