CVE-2026-53633 in Vitest
Сводка
по VulDB • 15.07.2026
Vitest — это фреймворк для тестирования на базе Vite. В версиях с 3.0.0 по 3.2.5 включительно, а также в версиях 4.1.8 и 5.0.0-beta.4 режим Vitest Browser Mode предоставлял API cdp(), который передавал необработанные методы Chrome DevTools Protocol без проверки через allowWrite или allowExec. Это позволяло удаленному клиенту с доступом к метаданным открытого браузера использовать CDP Page.setDownloadBehavior и Runtime.evaluate для перезаписи файла vite.config.ts и выполнения кода Node.js, контролируемого злоумышленником. Проблема исправлена в версиях 3.2.5, 4.1.8 и 5.0.0-beta.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.