MEDIUMCVE-2026-39365

Vite Path Traversal (CVE-2026-39365) - 脆弱性対策

Q: CVE-2026-39365 とは何ですか？（Vite の Path Traversal）

.map ファイルは、コンパイルされた (minify または obfuscate された) JavaScript コードを元のソースコードにマッピングする 'ソースマップ' ファイルです。デバッグを容易にするために使用されます。

Q: Vite の CVE-2026-39365 による影響を受けていますか？

これは、開発サーバーがプロジェクトのルートディレクトリ外のファイルへのアクセスを許可するかどうかを制御する Vite の構成オプションです。有効にすると、外部ファイルへのアクセスが制限されます。

Q: Vite の CVE-2026-39365 を修正するにはどうすればよいですか？

ターミナルで `vite --version` コマンドを実行すると、Vite のバージョンを確認できます。

Q: CVE-2026-39365 は積極的に悪用されていますか？

すぐに Vite をアップデートできない場合は、開発サーバーへのアクセスを信頼できる内部ネットワークに制限することを検討してください。

Q: CVE-2026-39365 に関する Vite の公式アドバイザリはどこで確認できますか？

この脆弱性は主に開発サーバーに影響します。ただし、潜在的なセキュリティ問題を回避するために、最新バージョンにアップデートすることが重要です。

プラットフォーム

nodejs

コンポーネント

vite

修正版

8.0.1

7.0.1

6.0.1

0.1.17

AI Confidence: highNVDEPSS 4.1%レビュー済み: 2026年4月

NVDで見る

保存

Vite は JavaScript のフロントエンドツールングフレームワークです。バージョン 6.0.0 から 8.0.5 までの範囲において、開発サーバーの .map リクエスト処理において、URL 内の ../ セグメントを制限せずにファイルパスを解決し、readFile を呼び出す脆弱性が存在します。これにより、サーバーの allow list をバイパスし、プロジェクトルート外の .map ファイルを読み取ることが可能になります。この脆弱性は 6.4.2、7.3.2、および 8.0.5 で修正されています。

影響と攻撃シナリオ

Vite の CVE-2026-39365 は、6.0.0 から 6.4.2 未満、7.3.2、および 8.0.5 のバージョンに影響を与えます。これにより、攻撃者は Vite の開発サーバーの server.fs.strict 許可リストを回避できます。これは、.map (ソースマップ) ファイルのリクエストを操作して、プロジェクトのルートディレクトリ外のファイルにアクセスすることで実現されます。影響を受けるバージョンでは、Vite の開発サーバーは .map リクエスト内のファイルパスを正しく検証せず、../ シーケンスの使用を許可し、期待されるディレクトリ外に移動できます。攻撃者が有効な .map ファイルへのパスを提供でき、それが有効な JSON の場合、アクセスできます。主な影響は、ソースマップファイルに含まれる機密情報の漏洩の可能性ですが、この情報の有用性は、ソースコードの性質と環境のセキュリティ構成によって異なります。

悪用の状況

この脆弱性の悪用には、直接 HTTP リクエストを介するか、ブラウザの開発ツールを操作することによって、Vite の開発サーバーへのアクセスが必要です。攻撃者は、.map ファイルを要求し、パスに ../ シーケンスを含めてプロジェクトのルートディレクトリ外に移動する悪意のあるリクエストを作成する可能性があります。悪用の難易度は、ファイルシステムの構造とアクセス可能な外部 .map ファイルの可用性に依存します。悪用の成功も、取得した .map ファイルの内容を解釈する攻撃者の能力に依存します。これは、ソースコードに関する機密情報を含む可能性があります。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

4.05% (89% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネントvite

ベンダーvitejs

影響範囲修正版

>= 8.0.0, < 8.0.5 – >= 8.0.0, < 8.0.58.0.1

>= 7.0.0, < 7.3.2 – >= 7.0.0, < 7.3.27.0.1

>= 6.0.0, < 6.4.2 – >= 6.0.0, < 6.4.26.0.1

< 0.1.16 – < 0.1.160.1.17

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-04-06
公開日2026-04-07
更新日2026-04-15
EPSS 更新日2026-04-15

公開後0日でパッチ適用

緩和策と回避策

この脆弱性を軽減するには、Vite を 6.4.2、7.3.2、または 8.0.5 にアップデートすることをお勧めします。これらのバージョンには、.map リクエスト内のファイルパスを正しく検証し、外部ファイルへの不正アクセスを防ぐ修正が含まれています。さらに、server.fs.strict の構成を確認して、必要なディレクトリのみが許可されていることを確認してください。直ちにアップデートできない場合は、開発サーバーへのアクセスを信頼できる内部ネットワークに制限することを検討してください。ただし、これにより根本的な脆弱性は解消されません。潜在的な攻撃から保護するために、できるだけ早くアップデートを適用することが重要です。

修正方法翻訳中…

Actualice Vite a la versión 6.4.2, 7.3.2 o 8.0.5 para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización corrige la forma en que el servidor de desarrollo maneja las solicitudes de .map, restringiendo el acceso a archivos fuera del directorio raíz del proyecto.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-39365 とは何ですか？（Vite の Path Traversal）