Plattform
nodejs
Komponente
vite
Behoben in
8.0.1
7.0.1
6.0.1
0.1.17
Vite is a build tool for JavaScript projects, and a vulnerability has been identified in its dev server. This Path Traversal issue allows attackers to potentially access sensitive files outside the project's root directory by manipulating requests for source map files. The vulnerability impacts Vite versions 6.0.0 through 8.0.4, but has been resolved in version 8.0.5.
Die CVE-2026-39365-Schwachstelle in Vite betrifft Versionen 6.0.0 bis einschließlich der Version vor 6.4.2, 7.3.2 und 8.0.5. Sie ermöglicht einem Angreifer, die server.fs.strict-Zugriffskontrolle des Vite-Entwicklungsservers zu umgehen. Dies wird durch Manipulation von .map-Datei-Anfragen (Source Maps) erreicht, um auf Dateien außerhalb des Projekt-Root-Verzeichnisses zuzugreifen. In den betroffenen Versionen validiert der Vite-Entwicklungsserver Dateipfade in .map-Anfragen nicht korrekt, was die Verwendung von ../-Sequenzen ermöglicht, um außerhalb des erwarteten Verzeichnisses zu navigieren. Wenn der Angreifer einen gültigen Pfad angeben kann, der auf eine externe .map-Datei verweist, die ein gültiges JSON ist, kann er darauf zugreifen. Der primäre Einfluss ist die potenzielle Offenlegung sensibler Informationen, die in den Source-Map-Dateien enthalten sind, obwohl die Nützlichkeit dieser Informationen von der Art des Quellcodes und den Sicherheitseinstellungen der Umgebung abhängt.
Die Ausnutzung dieser Schwachstelle erfordert Zugriff auf den Vite-Entwicklungsserver, entweder über eine direkte HTTP-Anfrage oder durch Manipulation der Browser-Entwicklertools. Ein Angreifer könnte eine bösartige Anfrage erstellen, die eine .map-Datei mit einem Pfad anfordert, der ../-Sequenzen enthält, um außerhalb des Projekt-Root-Verzeichnisses zu navigieren. Der Schwierigkeitsgrad der Ausnutzung hängt von der Dateisystemstruktur und der Verfügbarkeit zugänglicher externer .map-Dateien ab. Der Erfolg der Ausnutzung hängt auch von der Fähigkeit des Angreifers ab, den Inhalt der erhaltenen .map-Datei zu interpretieren, der sensible Informationen über den Quellcode enthalten könnte.
Exploit-Status
EPSS
4.05% (89% Perzentil)
CISA SSVC
Um diese Schwachstelle zu beheben, wird empfohlen, Vite auf Version 6.4.2, 7.3.2 oder 8.0.5 zu aktualisieren. Diese Versionen enthalten eine Korrektur, die Dateipfade in .map-Anfragen korrekt validiert und so unbefugten Zugriff auf externe Dateien verhindert. Überprüfen Sie außerdem die server.fs.strict-Konfiguration, um sicherzustellen, dass nur die erforderlichen Verzeichnisse zulässig sind. Wenn ein sofortiges Update nicht möglich ist, sollten Sie den Zugriff auf den Entwicklungsserver auf ein vertrauenswürdiges internes Netzwerk beschränken, obwohl dies die zugrunde liegende Schwachstelle nicht beseitigt. Die Anwendung des Updates so schnell wie möglich ist entscheidend, um sich vor potenziellen Angriffen zu schützen.
Actualice Vite a la versión 6.4.2, 7.3.2 o 8.0.5 para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización corrige la forma en que el servidor de desarrollo maneja las solicitudes de .map, restringiendo el acceso a archivos fuera del directorio raíz del proyecto.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
.map-Dateien sind 'Source-Map'-Dateien, die kompilierten (minifizierten oder verschleierten) JavaScript-Code auf den ursprünglichen Quellcode abbilden. Sie werden verwendet, um das Debugging zu erleichtern.
Dies ist eine Vite-Konfigurationsoption, die steuert, ob der Entwicklungsserver den Zugriff auf Dateien außerhalb des Projekt-Root-Verzeichnisses zulässt. Wenn es aktiviert ist, wird der Zugriff auf externe Dateien eingeschränkt.
Sie können Ihre Vite-Version überprüfen, indem Sie den Befehl vite --version in Ihrem Terminal ausführen.
Wenn Sie Vite nicht sofort aktualisieren können, sollten Sie den Zugriff auf den Entwicklungsserver auf ein vertrauenswürdiges internes Netzwerk beschränken.
Diese Schwachstelle betrifft hauptsächlich den Entwicklungsserver. Es ist jedoch wichtig, auf die neueste Version zu aktualisieren, um potenzielle Sicherheitsprobleme zu vermeiden.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.