Er is een nieuw beveiligingslek ontdekt in de ‘vite-plugin-static-copy’, aangeduid als CVE-2025-57753. Dit lek stelt aanvallers in staat om via een speciaal vervaardigd verzoek toegang te krijgen tot bestanden die niet in de src directory zijn opgenomen. Deze kwetsbaarheid heeft een ‘Medium’ ernst met een CVSS-score van 6.0.
Overzicht
‘vite-plugin-static-copy’ is een plugin voor Vite die ondersteuning biedt voor de ontwikkelserver. De kwetsbaarheid, aangeduid als CWE-22: Onjuiste beperking van een padnaam tot een beperkt pad (ook wel bekend als ‘Path Traversal’), stelt aanvallers in staat om toegang te krijgen tot ongeautoriseerde bestanden.
Aanbevelingen
- Update onmiddellijk naar de veilige versies 2.3.2 of 3.1.2 om deze kwetsbaarheid te verhelpen.
- Controleer uw logs en systemen op verdachte activiteiten als er gebruikgemaakt wordt van eerder kwetsbare versies.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-57753?
CVE-2025-57753 betreft een beveiligingslek in de vite-plugin-static-copy waarmee aanvallers toegang kunnen krijgen tot bestanden buiten de bedoelde directorystructuur.
Welke systemen zijn kwetsbaar voor CVE-2025-57753?
Alle systemen die gebruikmaken van ‘vite-plugin-static-copy’ in de versies >= 3.0.0, < 3.1.2 en >= 0.4.3, < 2.3.2 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Ja, de kwetsbaarheid is opgelost in versies 2.3.2 en 3.1.2 van de plugin.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder uw weten toegang krijgen tot bestanden die normaal gesproken afgeschermd moeten zijn, wat kan leiden tot datalekken.
