プラットフォーム
nodejs
コンポーネント
vite
修正版
8.0.1
7.1.1
0.1.17
8.0.5
CVE-2026-39364は、Viteのdevサーバーにおけるファイル公開の脆弱性です。この脆弱性により、攻撃者はserver.fs.denyで拒否されたはずのファイルの内容をブラウザに公開できる可能性があります。影響を受けるのは、Vite devサーバーをネットワークに公開しているアプリケーションです。Vite 8.0.5以降で修正されています。
この脆弱性は、Vite devサーバーをネットワークに公開しているアプリケーションに深刻な影響を与える可能性があります。攻撃者は、server.fs.denyで指定されたはずの機密ファイル(設定ファイル、APIキーなど)の内容を盗み出すことが可能です。これにより、アプリケーションの機密情報が漏洩し、不正アクセスやデータ改ざんにつながる可能性があります。特に、server.fs.allowで許可されたディレクトリ内に脆弱なファイルが存在する場合、攻撃の影響は拡大します。この脆弱性は、類似のファイル公開の脆弱性と同様に、機密情報の漏洩という深刻な結果をもたらす可能性があります。
この脆弱性は、2026年4月6日に公開されました。現時点では、公開されているPoCは確認されていませんが、Vite devサーバーをネットワークに公開している環境では、攻撃のリスクが存在します。CISA KEVへの登録状況は不明です。この脆弱性は、機密情報漏洩のリスクが高いため、早急な対応が必要です。
Development teams using Vite in projects where the development server is inadvertently exposed to the network are at risk. This includes developers using shared hosting environments or those who have not properly configured their Vite server settings. Projects relying on Vite for local development and testing are also vulnerable if the server is accessible from outside the development environment.
• nodejs: Monitor process arguments for --host or --port to identify exposed Vite development servers.
ps aux | grep 'node --host' || ps aux | grep 'node --port'• nodejs: Check for unusual file access patterns within the Vite project directory, particularly targeting files denied by server.fs.deny.
find . -type f -mtime -1 -print0 | xargs -0 ls -l• generic web: Monitor access logs for requests targeting files within the Vite project directory, especially those that should be denied. • generic web: Inspect response headers for unexpected content types or file extensions when accessing files within the Vite project directory.
disclosure
エクスプロイト状況
EPSS
2.56% (86% パーセンタイル)
CISA SSVC
この脆弱性への対応策として、まずViteをバージョン8.0.5以降にアップデートすることを推奨します。アップデートが困難な場合は、Vite devサーバーをネットワークに公開しないように設定するか、server.hostオプションを使用しないようにしてください。また、WAFやプロキシサーバーを使用して、不正なファイルアクセスを検知・遮断することも有効です。server.fs.denyの設定を適切に行い、不要なファイルへのアクセスを制限することも重要です。アップデート後、server.fs.denyの設定が正しく機能していることを確認してください。
Actualice Vite a la versión 7.3.2 o superior, o a la versión 8.0.5 o superior. Esto corrige la vulnerabilidad al evitar el acceso no autorizado a archivos bloqueados por la configuración `server.fs.deny`.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-39364は、Viteのdevサーバーにおいて、server.fs.denyで指定されたはずのファイルの内容がブラウザに公開される可能性がある脆弱性です。
Vite devサーバーをネットワークに公開している場合、影響を受ける可能性があります。特に、server.fs.allowで許可されたディレクトリ内に機密ファイルが存在する場合は注意が必要です。
Viteをバージョン8.0.5以降にアップデートすることを推奨します。アップデートが困難な場合は、Vite devサーバーをネットワークに公開しないように設定してください。
現時点では、公開されているPoCは確認されていませんが、Vite devサーバーをネットワークに公開している環境では、攻撃のリスクが存在します。
Viteの公式アドバイザリは、[https://vitejs.dev/](https://vitejs.dev/) を参照してください。