CVE-2025-67489 in vite-plugin-react
요약
\~에 의해 VulDB • 2026. 05. 17.
@vitejs/plugin-rs는 Vite에서 React Server Components(RSC) 지원을 제공합니다. 0.5.5 이하 버전은 RSC 애플리케이션에 통합되어 서버 함수 엔드포인트를 노출할 경우, 서버 함수 API(loadServerAction, decodeReply, decodeAction) 내의 안전하지 않은 동적 가져오기(dynamic imports)를 통해 개발 서버에서 임의의 원격 코드 실행(RCE)에 취약합니다. 개발 서버에 네트워크 접근 권한이 있는 공격자는 파일을 읽거나 수정하고, 민감한 데이터(소스 코드, 환경 변수, 자격 증명)를 유출하거나, 다른 내부 서비스로 이동(pivot)할 수 있습니다. 이 취약점은 개발 서버에만 영향을 미치지만, vite --host 명령어를 사용하여 서버를 모든 네트워크 인터페이스에 노출할 경우 위험도가 증가합니다. 이 문제는 버전 0.5.6에서 해결되었습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.