Vitest に CVSS 9.8 の深刻なRCE脆弱性 — 5,300万ダウンロードの開発ツールに影響

概要

JavaScriptテストフレームワーク「Vitest」にCVSS 9.8（Critical）のリモートコード実行（RCE）脆弱性が発見された。月間5,300万ダウンロードを超える広く使われた開発ツールに影響するため、多数の開発環境が危険にさらされている。

詳細

• 脆弱性の深刻度: CVSS 9.8 = Critical（最高レベルに近い）
• 影響範囲: 月間5,300万ダウンロードの開発環境に使用されるテストフレームワーク
• 脆弱性の種類: リモートコード実行（RCE）— 攻撃者が被害者の開発環境で任意のコードを実行できる可能性
• VoidZeroエコシステム（Vite/Vitest/Rolldown/Oxc）は2026年6月にCloudflareに買収されたばかり
• 開発環境・CI/CDパイプラインでVitestを使用しているプロジェクトは早急なアップデートが推奨される

参照

• 出典: https://securityonline.info/vitest-remote-code-execution-vulnerabilities/
• はてなブックマーク数: 6