CVE-2025-32395

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2025-32395
Vite is a frontend tooling framework for javascript. Prior to 6.2.6, 6.1.5, 6.0.15, 5.4.18, and 4.5.13, the contents of arbitrary files can be returned to the browser if the dev server is running on Node or Bun. HTTP 1.1 spec (RFC 9112) does not allow # in request-target. Although an attacker can send such a request. For those requests with an invalid request-line (it includes request-target), the spec recommends to reject them with 400 or 301. The same can be said for HTTP 2. On Node and Bun, those requests are not rejected internally and is passed to the user land. For those requests, the value of http.IncomingMessage.url contains #. Vite assumed req.url won't contain # when checking server.fs.deny, allowing those kinds of requests to bypass the check. Only apps explicitly exposing the Vite dev server to the network (using --host or server.host config option) and running the Vite dev server on runtimes that are not Deno (e.g. Node, Bun) are affected. This vulnerability is fixed in 6.2.6, 6.1.5, 6.0.15, 5.4.18, and 4.5.13.
CVSS

No CVSS.

References
Link Resource
https://github.com/vitejs/vite/commit/175a83909f02d3b554452a7bd02b9f340cdfef70
https://github.com/vitejs/vite/security/advisories/GHSA-356w-63v5-8wf4
Configurations

No configuration.

History

11 Apr 2025, 15:39

Type Values Removed Values Added
Summary
  • (es) Vite es un framework frontend para javascript. Antes de 6.2.6, 6.1.5, 6.0.15, 5.4.18 y 4.5.13, el contenido de archivos arbitrarios se puede devolver al navegador si el servidor de desarrollo se ejecuta en Node o Bun. La especificación HTTP 1.1 (RFC 9112) no permite # en el destino de la solicitud. Aunque un atacante puede enviar dicha solicitud. Para aquellas solicitudes con una línea de solicitud no válida (incluye el objetivo de la solicitud), la especificación recomienda rechazarlas con 400 o 301. Lo mismo puede decirse de HTTP 2. En Node y Bun, esas solicitudes no se rechazan internamente y se pasan al área del usuario. Para esas solicitudes, el valor de http.IncomingMessage.url contiene #. Vite asumió que req.url no contendrá # al verificar server.fs.deny, permitiendo que ese tipo de solicitudes eviten la verificación. Solo se ven afectadas las aplicaciones que exponen explícitamente el servidor de desarrollo de Vite a la red (utilizando la opción de configuración --host o server.host) y que ejecutan el servidor de desarrollo de Vite en entornos de ejecución que no son Deno (por ejemplo, Node, Bun). Esta vulnerabilidad se corrigió en 6.2.6, 6.1.5, 6.0.15, 5.4.18 y 4.5.13.

10 Apr 2025, 14:15

Type Values Removed Values Added
New CVE
Information

Published : 2025-04-10 14:15

Updated : 2025-04-11 15:39

NVD link : CVE-2025-32395

Mitre link : CVE-2025-32395

CVE.ORG link : CVE-2025-32395

JSON object : View

Products Affected

No product.

CWE
CWE-200

Exposure of Sensitive Information to an Unauthorized Actor