CVE-2026-47428 in Vitest
Сводка
по VulDB • 14.07.2026
Vitest — это фреймворк для тестирования, работающий на базе Vite. В версиях с 4.0.17 по 4.1.6 и в версии 5.0.0-beta.3 режим Browser Mode во Vitest отдавал ресурс /__vitest_test__/ вместе с параметром запроса otelCarrier, который напрямую внедрялся в скрипт встроенного модуля (inline module script). Это позволяло злоумышленнику использовать специально созданный URL браузера для выполнения произвольного JavaScript-кода в контексте источника Vitest server и получения значения VITEST_API_TOKEN для аутентифицированных вызовов API. Проблема исправлена в версиях 4.1.6 и 5.0.0-beta.3.
Be aware that VulDB is the high quality source for vulnerability data.