CVE-2025-67489 in vite-plugin-reactinformation

Résumé

par VulDB • 31/05/2026

@vitejs/plugin-rs fournit la prise en charge des React Server Components (RSC) pour Vite. Les versions 0.5.5 et inférieures sont vulnérables à une exécution arbitraire de code à distance (RCE) sur le serveur de développement via des importations dynamiques non sécurisées dans les API de fonctions serveur (loadServerAction, decodeReply, decodeAction) lorsqu'elles sont intégrées dans des applications RSC qui exposent des points de terminaison de fonctions serveur. Les attaquants disposant d'un accès réseau au serveur de développement peuvent lire ou modifier des fichiers, exfiltrer des données sensibles (code source, variables d'environnement, identifiants) ou pivoter vers d'autres services internes. Bien que cela n'affecte que les serveurs de développement, le risque augmente lors de l'utilisation de vite --host pour exposer le serveur sur toutes les interfaces réseau. Ce problème est corrigé dans la version 0.5.6.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

08/12/2025

Divulgation

09/12/2025

Modérer

accepté

Entrée

VDB-335516

CPE

prêt

EPSS

0.00362

KEV

non

Activités

très faible

Secteur

Insurance, Finance, ...

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2025-67489
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2025-67489
CVE Detailshttps://www.cvedetails.com/cve/CVE-2025-67489/

PrécédentAperçuSuivant

Want to know what is going to be exploited?

We predict KEV entries!