概要
Vitest はフロントエンド開発で広く利用される JavaScript テストフレームワークです。v4.0.x のブラウザモードにおいて、UIサーバーが起動している際にブラウザモードの RPC エンドポイントが適切なアクセス制御なしにサーバー上の任意ファイルへのアクセスを許可するという脆弱性が確認されました。
この脆弱性により、Vitest UIサーバーにネットワークアクセスできる者がホストシステム上の任意のファイルを読み取り、さらに実行できる状態になります。CI/CD パイプラインや共有開発環境での利用に特に注意が必要です。
CVSSベクトル
| 要素 | 値 |
|---|---|
| Attack Vector | Network |
| Attack Complexity | Low |
| Privileges Required | None |
| User Interaction | None |
| Scope | Unchanged |
| Confidentiality | High |
| Integrity | High |
| Availability | High |
| CVSSスコア | 9.8 (Critical) ※ GHSA 評価値 |
影響を受けるソフトウェア
| 製品 | 影響バージョン | 修正バージョン |
|---|---|---|
| vitest | < 4.1.0 | 4.1.0 以降 |
修正バージョンと回避策
推奨対応: vitest を v4.1.0 以降にアップデートしてください。
npm install vitest@latest
# または
yarn add -D vitest@latest
暫定回避策(アップデートが困難な場合):
- Vitest UIサーバーを外部ネットワークに公開しない
- CI/CD 環境では
--reporter=verbose等を使用してUIサーバーを起動しない --ui falseオプションでUIを無効にする
関連リンク
データソース: GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。