Plateforme
nodejs
Composant
vite
Corrigé dans
8.0.1
7.1.1
0.1.17
8.0.5
La vulnérabilité CVE-2026-39364 concerne une faille de divulgation de fichiers dans Vite, un outil de construction frontend. Cette faille permet à un attaquant d'accéder au contenu de fichiers sensibles qui sont explicitement exclus par la configuration server.fs.deny, mais qui se trouvent dans les répertoires autorisés par server.fs.allow. Elle affecte les versions de Vite antérieures à 8.0.5 et peut être exploitée si le serveur de développement Vite est exposé au réseau.
L'impact de cette vulnérabilité est significatif si le serveur de développement Vite est accessible depuis le réseau. Un attaquant peut exploiter cette faille pour récupérer des informations sensibles stockées dans des fichiers qui ne devraient pas être accessibles publiquement. Ces fichiers peuvent contenir des clés API, des mots de passe, des informations de configuration sensibles ou d'autres données confidentielles. La divulgation de ces informations pourrait permettre à un attaquant de compromettre l'application ou l'infrastructure sous-jacente. L'exploitation réussie nécessite que le fichier cible existe dans un répertoire autorisé et que la règle de déni soit mal configurée.
Cette vulnérabilité a été rendue publique le 6 avril 2026. Il n'y a pas d'indications d'exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne, car elle nécessite une configuration spécifique du serveur de développement Vite et une connaissance des fichiers sensibles présents sur le système. La vulnérabilité n'est pas répertoriée sur le KEV de CISA au moment de la rédaction.
Development teams using Vite in projects where the development server is inadvertently exposed to the network are at risk. This includes developers using shared hosting environments or those who have not properly configured their Vite server settings. Projects relying on Vite for local development and testing are also vulnerable if the server is accessible from outside the development environment.
• nodejs: Monitor process arguments for --host or --port to identify exposed Vite development servers.
ps aux | grep 'node --host' || ps aux | grep 'node --port'• nodejs: Check for unusual file access patterns within the Vite project directory, particularly targeting files denied by server.fs.deny.
find . -type f -mtime -1 -print0 | xargs -0 ls -l• generic web: Monitor access logs for requests targeting files within the Vite project directory, especially those that should be denied. • generic web: Inspect response headers for unexpected content types or file extensions when accessing files within the Vite project directory.
disclosure
Statut de l'Exploit
EPSS
2.56% (percentile 86%)
CISA SSVC
La mitigation principale consiste à mettre à jour Vite vers la version 8.0.5 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est crucial de revoir et de renforcer la configuration de server.fs.deny pour s'assurer qu'elle couvre tous les fichiers sensibles potentiels. Envisagez également de désactiver l'exposition du serveur de développement Vite au réseau en supprimant l'option --host ou en définissant server.host sur localhost. Une solution temporaire pourrait consister à utiliser un pare-feu d'application web (WAF) pour bloquer les requêtes vers les fichiers sensibles.
Actualice Vite a la versión 7.3.2 o superior, o a la versión 8.0.5 o superior. Esto corrige la vulnerabilidad al evitar el acceso no autorizado a archivos bloqueados por la configuración `server.fs.deny`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-39364 is a HIGH severity vulnerability affecting Vite versions before 8.0.5. It allows attackers to retrieve sensitive files if the Vite development server is exposed to the network.
You are affected if you are using Vite versions prior to 8.0.5 and your development server is accessible from the network, and sensitive files exist within allowed directories.
Upgrade to Vite version 8.0.5 or later. If immediate upgrade is not possible, restrict network access to the Vite development server and review your server.fs.deny and server.fs.allow configurations.
There is currently no indication of active exploitation campaigns or publicly available proof-of-concept code.
Refer to the Vite project's official security advisory for detailed information and updates: https://vitejs.dev/
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.