Vite: `server.fs.deny` प्रश्नों के साथ बाईपास किया गया

यह भेद्यता उन अनुप्रयोगों के लिए एक महत्वपूर्ण जोखिम प्रस्तुत करती है जो Vite विकास सर्वर को नेटवर्क पर उजागर करते हैं। यदि server.fs.deny द्वारा निर्दिष्ट फ़ाइलें server.fs.allow द्वारा निर्दिष्ट अनुमत निर्देशिकाओं में मौजूद हैं, तो एक हमलावर उन फ़ाइलों की सामग्री तक पहुंच सकता है। यह संवेदनशील डेटा, जैसे कि कॉन्फ़िगरेशन फ़ाइलें, एपीआई कुंजियाँ, या स्रोत कोड के प्रकटीकरण का कारण बन सकता है। हमलावर इस जानकारी का उपयोग आगे के हमलों को करने, सिस्टम से समझौता करने या डेटा चुराने के लिए कर सकता है। इस भेद्यता का शोषण करने के लिए, हमलावर को पहले Vite विकास सर्वर तक पहुंच प्राप्त करनी होगी। फिर, वे एक विशेष अनुरोध भेज सकते हैं जो संवेदनशील फ़ाइल को ब्राउज़र को वापस लौटाता है।

Development teams using Vite in projects where the development server is inadvertently exposed to the network are at risk. This includes developers using shared hosting environments or those who have not properly configured their Vite server settings. Projects relying on Vite for local development and testing are also vulnerable if the server is accessible from outside the development environment.

• nodejs: Monitor process arguments for --host or --port to identify exposed Vite development servers.

ps aux | grep 'node --host' || ps aux | grep 'node --port'

• nodejs: Check for unusual file access patterns within the Vite project directory, particularly targeting files denied by server.fs.deny.

find . -type f -mtime -1 -print0 | xargs -0 ls -l

• generic web: Monitor access logs for requests targeting files within the Vite project directory, especially those that should be denied. • generic web: Inspect response headers for unexpected content types or file extensions when accessing files within the Vite project directory.

1. 2026-04-06Disclosure

   disclosure

1. आरक्षित2026-04-06
2. प्रकाशित2026-04-06
3. संशोधित2026-04-09
4. EPSS अद्यतन2026-04-15

CVE-2026-39364 के लिए प्राथमिक शमन Vite को संस्करण 8.0.5 या बाद के संस्करण में अपडेट करना है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, server.fs.deny कॉन्फ़िगरेशन को समायोजित करके संवेदनशील फ़ाइलों को एक्सेस से रोका जा सकता है। इसके अतिरिक्त, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके संवेदनशील फ़ाइलों तक अनधिकृत पहुंच को अवरुद्ध किया जा सकता है। Vite विकास सर्वर को सार्वजनिक नेटवर्क पर उजागर करने से बचें। यदि सर्वर को उजागर करना आवश्यक है, तो सुनिश्चित करें कि यह एक सुरक्षित नेटवर्क पर है और केवल अधिकृत उपयोगकर्ताओं द्वारा ही एक्सेस किया जा सकता है। अपग्रेड के बाद, यह सत्यापित करें कि संवेदनशील फ़ाइलें अब ब्राउज़र को वापस नहीं लौटाई जा रही हैं, एक अनुरोध भेजकर जो पहले संवेदनशील फ़ाइल को उजागर करता था।

अंतिम अपडेट

8.0.14हाल ही में