Vitest — это фреймворк тестирования на основе Vite. Затронутые версии подвержены произвольному удаленному выполнению кода при доступе к вре…

Vitest — это фреймворк тестирования на основе Vite. Затронутые версии подвержены произвольному удаленному выполнению кода при доступе к вредоносному веб-сайту, когда API сервера Vitest прослушивает атаки перехвата веб-сокетов (CSWSH). Когда параметр `api` включен (интерфейс Vitest включает его), Vitest запускает сервер WebSocket. Этот сервер WebSocket не проверял заголовок Origin и не имел механизма аутентификации, что делало его уязвимым к атакам CSWSH. Этот сервер WebSocket имеет API `saveTestFile`, который может редактировать файл теста, и API `rerun`, который может повторно запустить тесты. Злоумышленник может выполнить произвольный код, внедрив код в файл теста через API `saveTestFile`, а затем запустив этот файл, вызвав API `rerun`. Эта уязвимость может привести к удаленному выполнению кода для пользователей, использующих API сервера Vitest. Эта проблема была исправлена в версиях 1.6.1, 2.1.9 и 3.0.5. Пользователям рекомендуется обновиться. Нет известных обходных путей.