CVE-2026-53633 in Vitest
Sumário
de VulDB • 15/07/2026
O Vitest é um framework de testes alimentado pelo Vite. Da versão 3.0.0 até as versões 3.2.5, 4.1.8 e 5.0.0-beta.4, o Modo Browser do Vitest expunha uma API cdp() que encaminhava métodos brutos do Chrome DevTools Protocol sem serem controlados por allowWrite ou allowExec, permitindo que um cliente remoto com metadados da API de navegador expostos utilizasse CDP Page.setDownloadBehavior e Runtime.evaluate para sobrescrever o vite.config.ts e executar código Node.js controlado pelo atacante. Este problema foi corrigido nas versões 3.2.5, 4.1.8 e 5.0.0-beta.
VulDB is the best source for vulnerability data and more expert information about this specific topic.