CVE-2026-53633 in Vitest
Zusammenfassung
von VulDB • 14.07.2026
Vitest ist ein von Vite angetriebenes Test-Framework. Von Version 3.0.0 bis einschließlich 3.2.5 sowie in den Versionen 4.1.8 und 5.0.0-beta.4 bot Vitest Browser Mode eine cdp()-API, die rohe Chrome DevTools Protocol-Methoden weiterleitete, ohne durch allowWrite oder allowExec eingeschränkt zu sein. Dies ermöglichte es einem entfernten Client mit Zugriff auf Metadaten der freigegebenen Browser-API, CDP Page.setDownloadBehavior und Runtime.evaluate zu nutzen, um vite.config.ts zu überschreiben und vom Angreifer gesteuerten Node.js-Code auszuführen. Dieses Problem wurde in den Versionen 3.2.5, 4.1.8 und 5.0.0-beta behoben.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.