प्लेटफ़ॉर्म
nodejs
घटक
vite
में ठीक किया गया
8.0.1
7.0.1
6.0.1
0.1.17
Vite एक JavaScript फ्रंटएंड टूलिंग फ्रेमवर्क है। 6.0.0 से 6.4.2, 7.3.2, और 8.0.5 से पहले के संस्करणों में, dev सर्वर .map अनुरोधों को संभालते समय फ़ाइल पथों को हल करता है और ../ सेगमेंट को प्रतिबंधित किए बिना readFile को कॉल करता है। इससे हमलावर सर्वर.fs.strict अनुमति सूची को दरकिनार कर सकते हैं और प्रोजेक्ट रूट के बाहर स्थित .map फ़ाइलें प्राप्त कर सकते हैं। यह भेद्यता 6.4.2, 7.3.2 और 8.0.5 में ठीक की गई है।
Vite में CVE-2026-39365, 6.0.0 से 6.4.2 से पहले के संस्करणों, 7.3.2 और 8.0.5 को प्रभावित करता है। यह एक हमलावर को Vite के विकास सर्वर के server.fs.strict अनुमति सूची को बायपास करने की अनुमति देता है। यह .map (स्रोत मानचित्र) फ़ाइल अनुरोधों में हेरफेर करके, परियोजना के रूट निर्देशिका के बाहर फ़ाइलों तक पहुंचने के द्वारा प्राप्त किया जाता है। प्रभावित संस्करणों में, Vite विकास सर्वर .map अनुरोधों में फ़ाइल पथों को सही ढंग से मान्य नहीं करता है, जिससे ../ अनुक्रमों का उपयोग करके अपेक्षित निर्देशिका के बाहर नेविगेट करने की अनुमति मिलती है। यदि हमलावर एक वैध पथ प्रदान कर सकता है जो एक बाहरी .map फ़ाइल की ओर इशारा करता है, और वह वैध JSON है, तो वे उस तक पहुंच सकते हैं। मुख्य प्रभाव स्रोत मानचित्र फ़ाइलों में निहित संवेदनशील जानकारी का संभावित प्रकटीकरण है, हालांकि इस जानकारी की उपयोगिता स्रोत कोड की प्रकृति और पर्यावरण की सुरक्षा कॉन्फ़िगरेशन पर निर्भर करती है।
इस भेद्यता का शोषण करने के लिए, या तो सीधे HTTP अनुरोध के माध्यम से या ब्राउज़र डेवलपर टूल में हेरफेर करके, Vite विकास सर्वर तक पहुंच की आवश्यकता होती है। एक हमलावर एक दुर्भावनापूर्ण अनुरोध बना सकता है जो .map फ़ाइल का अनुरोध करता है, जिसका पथ परियोजना के रूट निर्देशिका के बाहर नेविगेट करने के लिए ../ अनुक्रमों को शामिल करता है। शोषण की कठिनाई फ़ाइल सिस्टम संरचना और सुलभ बाहरी .map फ़ाइलों की उपलब्धता पर निर्भर करती है। शोषण की सफलता हमलावर की प्राप्त .map फ़ाइल की सामग्री की व्याख्या करने की क्षमता पर भी निर्भर करती है, जिसमें स्रोत कोड के बारे में संवेदनशील जानकारी हो सकती है।
एक्सप्लॉइट स्थिति
EPSS
4.05% (89% शतमक)
CISA SSVC
इस भेद्यता को कम करने के लिए, Vite को 6.4.2, 7.3.2 या 8.0.5 में अपडेट करने की अनुशंसा की जाती है। इन संस्करणों में एक फिक्स शामिल है जो .map अनुरोधों में फ़ाइल पथों को सही ढंग से मान्य करता है, जिससे बाहरी फ़ाइलों तक अनधिकृत पहुंच को रोका जा सकता है। इसके अतिरिक्त, server.fs.strict कॉन्फ़िगरेशन की जांच करें ताकि यह सुनिश्चित हो सके कि केवल आवश्यक निर्देशिकाओं की अनुमति है। यदि तत्काल अपडेट संभव नहीं है, तो विकास सर्वर तक पहुंच को एक विश्वसनीय आंतरिक नेटवर्क तक सीमित करने पर विचार करें, हालांकि यह अंतर्निहित भेद्यता को समाप्त नहीं करता है। संभावित हमलों से खुद को बचाने के लिए जल्द से जल्द अपडेट लागू करना महत्वपूर्ण है।
Actualice Vite a la versión 6.4.2, 7.3.2 o 8.0.5 para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización corrige la forma en que el servidor de desarrollo maneja las solicitudes de .map, restringiendo el acceso a archivos fuera del directorio raíz del proyecto.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
.map फ़ाइलें 'स्रोत मानचित्र' फ़ाइलें हैं जो संकलित (minify या obfuscate) JavaScript कोड को मूल स्रोत कोड पर मैप करती हैं। वे डिबगिंग को सुविधाजनक बनाने के लिए उपयोग किए जाते हैं।
यह एक Vite कॉन्फ़िगरेशन विकल्प है जो नियंत्रित करता है कि विकास सर्वर परियोजना के रूट निर्देशिका के बाहर फ़ाइलों तक पहुंचने की अनुमति देता है या नहीं। सक्षम होने पर, यह बाहरी फ़ाइलों तक पहुंच को प्रतिबंधित करता है।
आप अपने टर्मिनल में vite --version कमांड चलाकर अपने Vite संस्करण की जांच कर सकते हैं।
अगर आप तुरंत Vite को अपडेट नहीं कर सकते हैं, तो विकास सर्वर तक पहुंच को एक विश्वसनीय आंतरिक नेटवर्क तक सीमित करने पर विचार करें।
यह भेद्यता मुख्य रूप से विकास सर्वर को प्रभावित करती है। हालांकि, संभावित सुरक्षा समस्याओं से बचने के लिए नवीनतम संस्करण में अपडेट करना महत्वपूर्ण है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।