# CVE-2025-31125 > [!medium] Path Traversal no Vite Dev Server - Leitura de Arquivos Arbitrários > Vulnerabilidade de path traversal no servidor de desenvolvimento Vite permite que atacantes na mesma rede leiam arquivos arbitrários do sistema de arquivos do desenvolvedor, expondo código-fonte e credenciais em ambientes de desenvolvimento. ## Visão Geral A [[cve-2025-31125|CVE-2025-31125]] é uma vulnerabilidade de **path traversal** no **Vite**, uma das ferramentas de build e servidor de desenvolvimento mais populares no ecossistema JavaScript moderno. A falha afeta o servidor de desenvolvimento local do Vite, que por padrão escuta em `localhost`, mas o impacto se amplifica quando desenvolvedores expõem o servidor na rede (prática comum em ambientes de desenvolvimento compartilhados, Docker, ou ao usar a flag `--host`). O Vite é amplamente adotado em projetos React, Vue, Svelte e outros frameworks modernos. Um atacante na mesma rede que o servidor Vite em desenvolvimento pode explorar esta CVE para ler arquivos arbitrários do sistema, incluindo `.env` com variáveis de ambiente (API keys, credenciais de banco de dados), código-fonte proprietário e arquivos de configuração sensíveis. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Path Traversal | | Componente | Vite dev server - handler de arquivos estáticos | | Vetor | Rede - requer acesso à rede onde o dev server roda | | Impacto | Leitura de arquivos arbitrários do sistema | | EPSS Alto | 0.83 (exploração provável a curto prazo) | ## TTPs Associadas | Técnica | Descrição | |---------|-----------| | [[t1190-exploit-public-facing-application\|T1190]] | Acesso ao Vite dev server exposto na rede | | [[t1552-001-credentials-in-files\|T1552.001]] | Roubo de credenciais via leitura de .env | | [[t1083-file-and-directory-discovery\|T1083]] | Enumeração de estrutura de projeto via traversal | | [[t1213-data-from-information-repositories\|T1213]] | Extração de código-fonte proprietário | ## Detecção e Defesa **Mitigações:** - Atualizar Vite para versão 6.2.4, 6.1.3, 6.0.13 ou 5.4.17+ - [[m1051-update-software\|M1051]] - Manter dependências de desenvolvimento atualizadas - Nunca expor o Vite dev server com `--host 0.0.0.0` em redes não confiáveis - Usar arquivo `.env.example` para documentação e manter `.env` fora do repositório - [[m1030-network-segmentation\|M1030]] - Isolar ambientes de desenvolvimento em redes separadas > [!latam] Relevância para Brasil e LATAM > O Vite é utilizado por práticamente todos os times de desenvolvimento frontend moderno no Brasil - startups, agências e grandes empresas de tecnologia. Em ambientes de desenvolvimento remoto ou compartilhado (Docker em servidor, ambientes cloud de desenvolvimento), o dev server pode estar acessível na rede. Um atacante que leia arquivos `.env` de projetos em desenvolvimento pode obter credenciais de produção caso developers reutilizem variáveis entre ambientes. ## Referências - [Vite Security Advisory GHSA-92r3-m2mg-pj97](https://github.com/vitejs/vite/security/advisories) - [NVD - CVE-2025-31125](https://nvd.nist.gov/vuln/detail/CVE-2025-31125)