CVE-2025-24010

Опубликовано: 20 янв. 2025

Источник: nvd

CVSS3: 6.5

EPSS Низкий

Описание

Vite is a frontend tooling framework for javascript. Vite allowed any websites to send any requests to the development server and read the response due to default CORS settings and lack of validation on the Origin header for WebSocket connections. This vulnerability is fixed in 6.0.9, 5.4.12, and 4.5.6.

Ссылки

https://github.com/vitejs/vite/security/advisories/GHSA-vg6x-rcgg-rjx6
Exploit
Mitigation
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:vitejs:vite:*:*:*:*:*:node.js:*:*

Версия до 4.5.5 (исключая)

cpe:2.3:a:vitejs:vite:*:*:*:*:*:node.js:*:*

Версия от 5.0.0 (включая) до 5.4.12 (исключая)

cpe:2.3:a:vitejs:vite:*:*:*:*:*:node.js:*:*

Версия от 6.0.0 (включая) до 6.0.9 (исключая)

EPSS

Процентиль: 6%

0.00025

Низкий

6.5 Medium

CVSS3

Дефекты

CWE-346

Связанные уязвимости

CVE-2025-24010

CVSS3: 6.5

redhat

около 1 года назад

CVE-2025-24010

CVSS3: 6.5

debian

около 1 года назад

Vite is a frontend tooling framework for javascript. Vite allowed any ...

GHSA-vg6x-rcgg-rjx6

CVSS3: 6.5

github

около 1 года назад

Websites were able to send any requests to the development server and read the response in vite

BDU:2025-01641

CVSS3: 6.5

fstec

около 1 года назад

Уязвимость механизма CORS локального сервера разработки приложений Vite, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 6%

0.00025

Низкий

6.5 Medium

CVSS3

Дефекты

CWE-346