Vulnerabilidad en Vite (CVE-2025-32395)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
10/04/2025
Última modificación:
15/04/2026
Descripción
Vite es un framework frontend para javascript. Antes de 6.2.6, 6.1.5, 6.0.15, 5.4.18 y 4.5.13, el contenido de archivos arbitrarios se puede devolver al navegador si el servidor de desarrollo se ejecuta en Node o Bun. La especificación HTTP 1.1 (RFC 9112) no permite # en el destino de la solicitud. Aunque un atacante puede enviar dicha solicitud. Para aquellas solicitudes con una línea de solicitud no válida (incluye el objetivo de la solicitud), la especificación recomienda rechazarlas con 400 o 301. Lo mismo puede decirse de HTTP 2. En Node y Bun, esas solicitudes no se rechazan internamente y se pasan al área del usuario. Para esas solicitudes, el valor de http.IncomingMessage.url contiene #. Vite asumió que req.url no contendrá # al verificar server.fs.deny, permitiendo que ese tipo de solicitudes eviten la verificación. Solo se ven afectadas las aplicaciones que exponen explícitamente el servidor de desarrollo de Vite a la red (utilizando la opción de configuración --host o server.host) y que ejecutan el servidor de desarrollo de Vite en entornos de ejecución que no son Deno (por ejemplo, Node, Bun). Esta vulnerabilidad se corrigió en 6.2.6, 6.1.5, 6.0.15, 5.4.18 y 4.5.13.
Impacto
Puntuación base 4.0
6.00
Gravedad 4.0
MEDIA