製品・ソフトウェアに関する情報

JVN脆弱性詳細

Vitestの__screenshot-errorハンドラーにおける任意ファイル読み取りの脆弱性

Title	Vitestの__screenshot-errorハンドラーにおける任意ファイル読み取りの脆弱性
Summary	VitestはViteによって動作するテストフレームワークです。ブラウザモードのHTTPサーバー上の「__screenshot-error」ハンドラーは、ファイルシステム上の任意のファイルに対して応答してしまいます。特に、サーバーが「browser.api.host: true」に設定されてネットワーク上に公開されている場合、攻撃者がリモートからこのハンドラーへリクエストを送り、任意のファイルの内容を取得できてしまいます。この「__screenshot-error」ハンドラーはコミット「2d62051」により追加されました。ユーザーが明示的に「browser.api.host: true」でブラウザモードサーバーをネットワークに公開すると、すべてのファイルが漏洩する恐れがあります。この問題はバージョン2.1.9および3.0.4で修正されました。ユーザーはアップグレードすることが推奨されます。この脆弱性に対する既知の回避策は存在しません。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	Feb. 4, 2025, midnight
Registration Date	Jan. 6, 2026, 10:54 a.m.
Last Update	Jan. 6, 2026, 10:54 a.m.

CVSS3.0 : 重要
Score	7.5
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Affected System

Vitest.dev

Vitest 2.1.9 未満

Vitest 3.0.0 以上 3.0.4 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2025-24963	https://www.cve.org/CVERecord?id=CVE-2025-24963
National Vulnerability Database (NVD)
2	CVE-2025-24963	https://nvd.nist.gov/vuln/detail/CVE-2025-24963

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-22	https://jvndb.jvn.jp/ja/cwe/CWE-22.html

ベンダー情報

No	Name	URL
GitHub Advisory Database
1	Browser mode serves arbitrary files Advisory vitest-dev/vitest GitHub	https://github.com/vitest-dev/vitest/security/advisories/GHSA-8gvc-j273-4wm5

その他

No	Name	URL
関連文書
1	browser.api \| Config \| Vitest	https://vitest.dev/guide/browser/config.html#browser-api
2	feat(browser): allow preview and open in the editor screenshot error … vitest-dev/vitest@2d62051 GitHub	https://github.com/vitest-dev/vitest/commit/2d62051f13b4b0939b2f7e94e88006d830dc4d1f
3	vitest/packages/browser/src/node/plugin.ts at f17918a79969d27a415f70431e08a9445b051e45 vitest-dev/vitest GitHub	https://github.com/vitest-dev/vitest/blob/f17918a79969d27a415f70431e08a9445b051e45/packages/browser/src/node/plugin.ts#L88-L130

Change Log

No	Changed Details	Date of change
1	[2026年01月06日] 掲載	Jan. 6, 2026, 10:54 a.m.

NVD Vulnerability Information

CVE-2025-24963

Summary	Vitest is a testing framework powered by Vite. The `__screenshot-error` handler on the browser mode HTTP server that responds any file on the file system. Especially if the server is exposed on the network by `browser.api.host: true`, an attacker can send a request to that handler from remote to get the content of arbitrary files.This `__screenshot-error` handler on the browser mode HTTP server responds any file on the file system. This code was added by commit `2d62051`. Users explicitly exposing the browser mode server to the network by `browser.api.host: true` may get any files exposed. This issue has been addressed in versions 2.1.9 and 3.0.4. Users are advised to upgrade. There are no known workarounds for this vulnerability.
Publication Date	Feb. 5, 2025, 5:15 a.m.
Registration Date	Feb. 6, 2025, 4:01 a.m.
Last Update	Feb. 5, 2025, 5:15 a.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/vitest-dev/vitest/blob/f17918a79969d27a415f70431e08a9445b051e45/packages/browser/src/node/plugin.ts#L88-L130
2	https://github.com/vitest-dev/vitest/commit/2d62051f13b4b0939b2f7e94e88006d830dc4d1f
3	https://github.com/vitest-dev/vitest/security/advisories/GHSA-8gvc-j273-4wm5
4	https://vitest.dev/guide/browser/config.html#browser-api

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-22	パス・トラバーサル	https://cwe.mitre.org/data/definitions/22.html