CVE-2026-53633 in Vitestinfo

Zusammenfassung

von VulDB • 14.07.2026

Vitest ist ein von Vite angetriebenes Test-Framework. Von Version 3.0.0 bis einschließlich 3.2.5 sowie in den Versionen 4.1.8 und 5.0.0-beta.4 bot Vitest Browser Mode eine cdp()-API, die rohe Chrome DevTools Protocol-Methoden weiterleitete, ohne durch allowWrite oder allowExec eingeschränkt zu sein. Dies ermöglichte es einem entfernten Client mit Zugriff auf Metadaten der freigegebenen Browser-API, CDP Page.setDownloadBehavior und Runtime.evaluate zu nutzen, um vite.config.ts zu überschreiben und vom Angreifer gesteuerten Node.js-Code auszuführen. Dieses Problem wurde in den Versionen 3.2.5, 4.1.8 und 5.0.0-beta behoben.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub M

Reservieren

09.06.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379146

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!