Platform
nodejs
Component
vite
Opgelost in
8.0.1
7.1.1
0.1.17
8.0.5
CVE-2026-39364 is een kwetsbaarheid in Vite, een build tool voor JavaScript-applicaties. Deze kwetsbaarheid stelt een aanvaller in staat om de inhoud van bestanden te onthullen die door server.fs.deny zijn uitgesloten, mits de Vite dev server extern toegankelijk is en de bestanden zich bevinden in toegestane directories. De kwetsbaarheid treedt op in versies van Vite tussen 4.0.0 en 8.0.5, en kan worden verholpen door te upgraden naar versie 8.0.5 of hoger.
De impact van deze kwetsbaarheid is aanzienlijk, omdat een aanvaller potentieel gevoelige informatie kan verkrijgen, zoals configuratiebestanden, API-sleutels of andere vertrouwelijke gegevens die in de applicatie zijn opgeslagen. Dit kan leiden tot verdere inbreuken, zoals ongeautoriseerde toegang tot systemen of gegevensdiefstal. De kwetsbaarheid is alleen van toepassing op applicaties die de Vite dev server expliciet blootstellen aan het netwerk via de --host optie of de server.host configuratie. Het misbruik vereist dat de bestanden zich bevinden in de door server.fs.allow toegestane directories en dat de server.fs.deny configuratie de bestanden niet correct blokkeert.
Op het moment van publicatie is er geen publieke exploit beschikbaar. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat wijst op een potentieel risico. De kans op actieve exploitatie is momenteel laag, maar de mogelijkheid blijft bestaan, vooral gezien de relatief eenvoudige vereisten voor misbruik. De publicatie datum is 2026-04-06.
Development teams using Vite in projects where the development server is inadvertently exposed to the network are at risk. This includes developers using shared hosting environments or those who have not properly configured their Vite server settings. Projects relying on Vite for local development and testing are also vulnerable if the server is accessible from outside the development environment.
• nodejs: Monitor process arguments for --host or --port to identify exposed Vite development servers.
ps aux | grep 'node --host' || ps aux | grep 'node --port'• nodejs: Check for unusual file access patterns within the Vite project directory, particularly targeting files denied by server.fs.deny.
find . -type f -mtime -1 -print0 | xargs -0 ls -l• generic web: Monitor access logs for requests targeting files within the Vite project directory, especially those that should be denied. • generic web: Inspect response headers for unexpected content types or file extensions when accessing files within the Vite project directory.
disclosure
Exploit Status
EPSS
2.56% (86% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2026-39364 is het upgraden van Vite naar versie 8.0.5 of hoger. Indien een upgrade niet direct mogelijk is, zorg er dan voor dat de Vite dev server niet extern toegankelijk is door de --host optie niet te gebruiken en de server.host configuratie op localhost te zetten. Controleer de configuratie van server.fs.deny om er zeker van te zijn dat alle gevoelige bestanden correct worden uitgesloten. Implementeer een Web Application Firewall (WAF) om ongeautoriseerde toegang tot de dev server te blokkeren. Na de upgrade, controleer de serverlogboeken op ongebruikelijke activiteit en bevestig dat de kwetsbaarheid is verholpen door te proberen toegang te krijgen tot de gevoelige bestanden via de dev server.
Actualice Vite a la versión 7.3.2 o superior, o a la versión 8.0.5 o superior. Esto corrige la vulnerabilidad al evitar el acceso no autorizado a archivos bloqueados por la configuración `server.fs.deny`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-39364 is a HIGH severity vulnerability affecting Vite versions before 8.0.5. It allows attackers to retrieve sensitive files if the Vite development server is exposed to the network.
You are affected if you are using Vite versions prior to 8.0.5 and your development server is accessible from the network, and sensitive files exist within allowed directories.
Upgrade to Vite version 8.0.5 or later. If immediate upgrade is not possible, restrict network access to the Vite development server and review your server.fs.deny and server.fs.allow configurations.
There is currently no indication of active exploitation campaigns or publicly available proof-of-concept code.
Refer to the Vite project's official security advisory for detailed information and updates: https://vitejs.dev/
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.