Vulnerabilidad en Vite (CVE-2025-31486)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

03/04/2025

Última modificación:

07/04/2025

Descripción

Vite es un framework de herramientas frontend para JavaScript. El contenido de archivos arbitrarios se puede devolver al navegador. Al añadir ?.svg con ?.wasm?init o con el encabezado de script sec-fetch-dest:, se pudo omitir la restricción server.fs.deny. Esta omisión solo es posible si el archivo es menor que build.assetsInlineLimit (valor predeterminado: 4 KB) y al usar Vite 6.0 o posterior. Solo se ven afectadas las aplicaciones que exponen explícitamente el servidor de desarrollo de Vite a la red (mediante la opción de configuración --host o server.host). Esta vulnerabilidad se corrigió en las versiones 4.5.12, 5.4.17, 6.0.14, 6.1.4 y 6.2.5.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.30

Gravedad 3.x

MEDIA

Vulnerabilidad en Vite (CVE-2025-31486)

Descripción

Impacto

Referencias a soluciones, herramientas e información