CVE-2025-67489 in vite-plugin-reactinformación

Resumen

por VulDB • 2026-05-17

@vitejs/plugin-rs proporciona soporte para React Server Components (RSC) en Vite. Las versiones 0.5.5 y anteriores son vulnerables a la ejecución arbitraria de código remoto en el servidor de desarrollo a través de importaciones dinámicas inseguras en las APIs de funciones del servidor (loadServerAction, decodeReply, decodeAction) cuando se integran en aplicaciones RSC que exponen puntos finales de funciones del servidor. Los atacantes con acceso de red al servidor de desarrollo pueden leer/modificar archivos, exfiltrar datos sensibles (código fuente, variables de entorno, credenciales) o pivotar hacia otros servicios internos. Aunque esto afecta únicamente a los servidores de desarrollo, el riesgo aumenta al utilizar vite --host para exponer el servidor en todas las interfaces de red. Este problema se corrige en la versión 0.5.6.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2025-12-08

Divulgación

2025-12-09

Moderación

aceptado

Artículo

VDB-335516

CPE

listo

EPSS

0.00362

KEV

no

Actividades

muy bajo

Sector

Finance, Insurance, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2025-67489
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2025-67489
CVE Detailshttps://www.cvedetails.com/cve/CVE-2025-67489/

AnteriorVisión De ConjuntoPróximo

Do you know our Splunk app?

Download it now for free!