Plateforme
nodejs
Composant
vite
Corrigé dans
8.0.1
7.0.1
6.0.1
0.1.17
Vite est un framework d'outils frontend pour JavaScript. Une vulnérabilité de type Path Traversal a été découverte dans le serveur de développement, permettant potentiellement de contourner les restrictions et d'accéder à des fichiers sensibles. Cette faille affecte les versions de Vite comprises entre 6.0.0 et 8.0.5, excluant la version 8.0.5. Une correction a été déployée dans les versions 6.4.2, 7.3.2 et 8.0.5.
La vulnérabilité CVE-2026-39365 dans Vite affecte les versions 6.0.0 jusqu'à la version antérieure à 6.4.2, 7.3.2 et 8.0.5. Elle permet à un attaquant de contourner la liste de permissions server.fs.strict du serveur de développement de Vite. Ceci est réalisé en manipulant les requêtes de fichiers .map (source maps) pour accéder à des fichiers situés en dehors du répertoire racine du projet. Dans les versions affectées, le serveur de développement de Vite ne valide pas correctement les chemins de fichiers dans les requêtes .map, permettant l'utilisation de séquences ../ pour naviguer en dehors du répertoire attendu. Si l'attaquant peut fournir un chemin valide pointant vers un fichier .map externe qui est un JSON valide, il peut y accéder. L'impact principal est la possible exposition d'informations sensibles contenues dans les fichiers de source map, bien que l'utilité de ces informations dépende de la nature du code source et des configurations de sécurité de l'environnement.
L'exploitation de cette vulnérabilité nécessite un accès au serveur de développement de Vite, soit par le biais d'une requête HTTP directe, soit en manipulant les outils de développement du navigateur. Un attaquant pourrait créer une requête malveillante qui demande un fichier .map avec un chemin incluant des séquences ../ pour naviguer en dehors du répertoire racine du projet. La difficulté de l'exploitation dépend de la structure du système de fichiers et de la disponibilité de fichiers .map externes accessibles. Le succès de l'exploitation dépend également de la capacité de l'attaquant à interpréter le contenu du fichier .map obtenu, qui pourrait contenir des informations sensibles sur le code source.
Statut de l'Exploit
EPSS
4.05% (percentile 89%)
CISA SSVC
Pour atténuer cette vulnérabilité, il est recommandé de mettre à jour Vite à la version 6.4.2, 7.3.2 ou 8.0.5. Ces versions incluent une correction qui valide correctement les chemins de fichiers dans les requêtes .map, empêchant l'accès non autorisé à des fichiers externes. De plus, examinez la configuration de server.fs.strict pour vous assurer que seuls les répertoires nécessaires sont autorisés. Si une mise à jour immédiate n'est pas possible, envisagez de restreindre l'accès au serveur de développement à un réseau interne de confiance, bien que cela n'élimine pas la vulnérabilité sous-jacente. Appliquer la mise à jour dès que possible est crucial pour se protéger contre d'éventuelles attaques.
Actualice Vite a la versión 6.4.2, 7.3.2 o 8.0.5 para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización corrige la forma en que el servidor de desarrollo maneja las solicitudes de .map, restringiendo el acceso a archivos fuera del directorio raíz del proyecto.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Les fichiers .map sont des fichiers de 'source map' qui mappent le code JavaScript compilé (minifié ou obscurci) au code source original. Ils sont utilisés pour faciliter le débogage.
C'est une option de configuration de Vite qui contrôle si le serveur de développement autorise l'accès aux fichiers situés en dehors du répertoire racine du projet. Lorsqu'elle est activée, elle restreint l'accès aux fichiers externes.
Vous pouvez vérifier votre version de Vite en exécutant la commande vite --version dans votre terminal.
Si vous ne pouvez pas mettre à jour immédiatement, envisagez de restreindre l'accès au serveur de développement à un réseau interne de confiance.
Cette vulnérabilité affecte principalement le serveur de développement. Cependant, il est important de mettre à jour vers la dernière version pour éviter d'éventuels problèmes de sécurité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.