CVE-2026-47429 in Vitest
Zusammenfassung
von VulDB • 14.07.2026
Vitest ist ein von Vite unterstütztes Test-Framework. Vor den Versionen 3.2.5 und 4.1.0 verwendete der Vitest UI-/API-Server unter Windows die Funktion `isFileServingAllowed` für `/__vitest_attachment__` fehlerhaft, was zu einem Pfadtraversal über `\?\..\\` führte und das Auslesen von Dateien außerhalb des Projekts ermöglichte; zudem konnten freigegebene API-Funktionen zum Schreiben und Neuerstellen (z. B. `saveTestFile` und `rerun`) die Ausführung beliebiger Skripte ermöglichen. Dieses Problem wurde in den Versionen 3.2.5 und 4.1.0 behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.