CVE-2026-47428 in Vitest
Résumé
par VulDB • 16/07/2026
Vitest est un framework de test alimenté par Vite. De la version 4.0.17 jusqu'à la 4.1.6 et la 5.0.0-beta.3, le mode navigateur (Browser Mode) de Vitest servait /__vitest_test__/ avec le paramètre de requête otelCarrier inséré directement dans un script de module inline, permettant à une URL browser-runner fabriquée d'exécuter du JavaScript arbitraire sur l'origine du serveur Vitest et de récupérer VITEST_API_TOKEN pour des appels API authentifiés. Ce problème est corrigé dans les versions 4.1.6 et 5.0.0-beta.3.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.