つみかさね

CVE-2026-53632

High(7.5)

CVE-2026-53632 — launch-editor / Vite UNCパス経由 NTLMv2ハッシュ漏洩

公開日: 2026-06-17データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
launch-editorVite Team< 2.14.1
viteVite Team< 6.4.3 / < 7.3.5 / < 8.0.16

対応ガイド

high|推奨セキュリティ修正影響: 限定的

推奨アクション

  1. 1Windows 環境で Vite dev server を使用しているか確認する
  2. 2Vite を修正バージョン(6.4.3 / 7.3.5 / 8.0.16)以降へアップデートする
  3. 3dev server を `--host` でネットワーク公開している場合は設定を見直す

影響対象

Windows上でVite dev serverを使用する開発者

補足

  • -開発環境(dev server)の問題です。本番ビルドへの直接の影響はありません

関連するリリース情報

この脆弱性に関連するフレームワークの最新リリース・修正バージョンを確認できます。

V
Vite のリリース情報 →
CVEVitenpmNTLMv2Windows情報漏洩

概要

launch-editor npm パッケージに Windows 固有の脆弱性があります。UNC パス(\\server\share 形式)を含むファイルパスが処理される際、Windows が自動的に NTLM 認証を試み、ユーザーの NTLMv2 パスワードハッシュが攻撃者の制御する SMB サーバーへ送信されます。

launch-editor は Vite の「ブラウザのエラーオーバーレイからエディタでファイルを開く」機能で使用されており、Vite を利用する多数のフレームワーク(Vue CLI、Nuxt、Vite ベースプロジェクト全般)が影響を受けます。

取得した NTLMv2 ハッシュはオフラインでクラッキングされ、パスワードの復元や認証の偽装に使用される可能性があります。なお、Vite の dev server がネットワーク公開されている場合(--host オプション使用時)に外部から悪用されやすくなります。

影響を受けるソフトウェア

製品バージョン
launch-editor2.14.1 未満
vite6.4.3 未満
vite7.3.5 未満
vite8.0.16 未満
vite-plus0.1.24 未満

修正バージョンと回避策

修正バージョン:

  • launch-editor: 2.14.1 以降
  • Vite 6.x: 6.4.3 以降
  • Vite 7.x: 7.3.5 以降
  • Vite 8.x: 8.0.16 以降

回避策:

  • Windows 環境での Vite dev server のネットワーク公開(--host)を避ける
  • ローカルホスト(127.0.0.1)へのバインドに限定する
  • エディタとの連携機能を利用しない場合は launch-editor の機能を無効化する

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-53571Vite server.fs.deny WindowsパスバイパスCVSS 7.5

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-53632
GHSA:https://github.com/vitejs/launch-editor/security/advisories/GHSA-v6wh-96g9-6wx3
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。