概要
Vitest ブラウザモード(@vitest/browser)において、otelCarrier クエリパラメータの値がサニタイズされることなくページのインラインスクリプトとして挿入される脆弱性が確認されました。
細工された URL を経由することで、被害者のブラウザコンテキストで任意の JavaScript を実行させることができます。Vitestのブラウザモードはテスト実行中にローカルサーバーを起動しますが、外部からリンクを開かせることで攻撃が成立します。
CVSSベクトル
| 要素 | 値 |
|---|---|
| Attack Vector | Network |
| Attack Complexity | Low |
| Privileges Required | None |
| User Interaction | Required |
| Scope | Changed |
| Confidentiality | High |
| Integrity | High |
| Availability | None |
| CVSSスコア | 9.1 (Critical) ※ GHSA 評価値 |
影響を受けるソフトウェア
| 製品 | 影響バージョン | 修正バージョン |
|---|---|---|
| @vitest/browser | < 4.1.6 | 4.1.6 以降 |
| @vitest/browser | < 5.0.0-beta.3 | 5.0.0-beta.3 以降 |
修正バージョンと回避策
推奨対応: @vitest/browser を v4.1.6 以降にアップデートしてください。
npm install @vitest/browser@latest
関連リンク
データソース: GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。