CVE-2025-67489 in vite-plugin-reactinfo

Zusammenfassung

von VulDB • 31.05.2026

@vitejs/plugin-rs bietet Unterstützung für React Server Components (RSC) für Vite. Versionen 0.5.5 und älter sind anfällig für beliebige Remote-Code-Ausführung (RCE) auf dem Entwicklungsserver durch unsichere dynamische Imports in Server-Funktions-APIs (loadServerAction, decodeReply, decodeAction), wenn sie in RSC-Anwendungen integriert werden, die Server-Funktions-Endpunkte exponieren. Angreifer mit Netzwerkzugriff auf den Entwicklungsserver können Dateien lesen/ändern, sensible Daten (Quellcode, Umgebungsvariablen, Anmeldeinformationen) exfiltrieren oder zu anderen internen Diensten pivotieren. Obwohl dies nur Entwicklungsserver betrifft, steigt das Risiko, wenn vite --host verwendet wird, um den Server auf allen Netzwerkschnittstellen zu exponieren. Dieses Problem wurde in Version 0.5.6 behoben.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

08.12.2025

Veröffentlichung

09.12.2025

Moderieren

akzeptiert

Eintrag

VDB-335516

CPE

bereit

EPSS

0.00362

KEV

nein

Aktivitäten

very low

Sektor

Hostingprovider, Finance, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2025-67489
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2025-67489
CVE Detailshttps://www.cvedetails.com/cve/CVE-2025-67489/

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!