Vitest Vulnerability Exposes Developers to Remote Code Execution – CVE-2025-24964 (CVSS 9.7)
2025/02/06 SecurityOnline — 人気のユニット・テスト・フレームワーク Vitest に、深刻なセキュリティ脆弱性 CVE-2025-24964 (CVSS:9.7) が発見された。この脆弱性の悪用に成功した攻撃者は、開発者のマシン上で任意のコードを実行する可能性を手にする。この脆弱性の影響範囲は、Vitest のバージョン 3.0.4 以下となる。
この脆弱性は、Vitest の API サーバにおける、Cross-site WebSocket Hijacking (CSWSH) の問題に起因する。この API オプションを有効化している Vitest は、CSWSH 攻撃に対して脆弱な WebSocket サーバを起動する。このサーバには、適切な Origin ヘッダー・チェックと認証メカニズムが存在しないため、攻撃者による WebSocket 接続のハイジャックが成立してしまう。
この脆弱性の悪用に成功した攻撃者は、saveTestFile API を介してテスト・ファイルに悪意のコードを挿入した後に、rerun API を呼び出すことで、そのコードを実行できる。それにより、開発者のマシンでリモート・コードが実行され、機密情報やシステムが不正にアクセスされる可能性が生じる。
この脆弱性の影響を示す PoC エクスプロイトでは、悪意の Web ページにアクセスするだけで、コード実行がトリガーされる仕組みが実証されている。このシステムの PATH 環境変数に、Windows では一般的な calc 実行ファイルが存在する場合には、ユーザーの操作を必要とすることなく、攻撃者はコードを起動できる。
すでに Vitest のメンテナーたちは、バージョン 1.6.1/2.1.9/3.0.5 をリリースし、この脆弱性に対処している。Vitest のユーザーに対して強く推奨されるのは、パッチを適用したバージョンへと、速やかに更新することだ。
このブログでは初登場の Vitest なので、GItHub で調べたところ、「Vite を搭載した超高速ユニットテストフレームワーク」と解説されていました。ご利用のチームは、ご確認ください。よろしければ、カテゴリ _OpenSource も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.