Platform
nodejs
Component
vite
Opgelost in
8.0.1
7.0.1
6.0.1
0.1.17
CVE-2026-39365 is een Path Traversal kwetsbaarheid in Vite, een frontend tooling framework voor JavaScript. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerde bestanden te benaderen via de dev server door de server.fs.strict allow list te omzeilen. De kwetsbaarheid treft Vite versies 6.0.0 tot en met 8.0.4 en is verholpen in versie 8.0.5.
CVE-2026-39365 in Vite beïnvloedt versies 6.0.0 tot en met de versie voor 6.4.2, 7.3.2 en 8.0.5. Het stelt een aanvaller in staat om de server.fs.strict-toegangscontrolelijst van de Vite-ontwikkelserver te omzeilen. Dit wordt bereikt door .map-bestandsaanvragen (source maps) te manipuleren om toegang te krijgen tot bestanden buiten de projectrootdirectory. In de getroffen versies valideert de Vite-ontwikkelserver bestandspaden in .map-aanvragen niet correct, waardoor het gebruik van ../-sequenties mogelijk is om buiten de verwachte directory te navigeren. Als de aanvaller een geldig pad kan verstrekken dat verwijst naar een extern .map-bestand dat een geldig JSON is, kan hij er toegang toe krijgen. De belangrijkste impact is de mogelijke blootlegging van gevoelige informatie die in de source map-bestanden is opgenomen, hoewel de bruikbaarheid van deze informatie afhangt van de aard van de broncode en de beveiligingsconfiguraties van de omgeving.
Het exploiteren van deze kwetsbaarheid vereist toegang tot de Vite-ontwikkelserver, of via een directe HTTP-aanvraag of door de browser-ontwikkeltools te manipuleren. Een aanvaller kan een kwaadaardige aanvraag maken die een .map-bestand aanvraagt met een pad dat ../-sequenties bevat om buiten de projectrootdirectory te navigeren. De moeilijkheidsgraad van de exploitatie hangt af van de structuur van het bestandssysteem en de beschikbaarheid van toegankelijke externe .map-bestanden. Het succes van de exploitatie hangt ook af van het vermogen van de aanvaller om de inhoud van het verkregen .map-bestand te interpreteren, dat gevoelige informatie over de broncode kan bevatten.
Exploit Status
EPSS
4.05% (89% percentiel)
CISA SSVC
Om deze kwetsbaarheid te verhelpen, wordt aanbevolen Vite bij te werken naar versie 6.4.2, 7.3.2 of 8.0.5. Deze versies bevatten een correctie die bestandspaden in .map-aanvragen correct valideert, waardoor ongeautoriseerde toegang tot externe bestanden wordt voorkomen. Controleer bovendien de server.fs.strict-configuratie om ervoor te zorgen dat alleen de vereiste directories zijn toegestaan. Als een onmiddellijke update niet mogelijk is, overweeg dan om de toegang tot de ontwikkelserver te beperken tot een vertrouwelijk intern netwerk, hoewel dit de onderliggende kwetsbaarheid niet elimineert. Het toepassen van de update zo snel mogelijk is cruciaal om u te beschermen tegen potentiële aanvallen.
Actualice Vite a la versión 6.4.2, 7.3.2 o 8.0.5 para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización corrige la forma en que el servidor de desarrollo maneja las solicitudes de .map, restringiendo el acceso a archivos fuera del directorio raíz del proyecto.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
.map-bestanden zijn 'source map'-bestanden die gecompileerde (geminificeerde of geobfusceerde) JavaScript-code op de oorspronkelijke broncode afbeelden. Ze worden gebruikt om het debuggen te vergemakkelijken.
Dit is een Vite-configuratieoptie die controleert of de ontwikkelserver toegang tot bestanden buiten de projectrootdirectory toestaat. Wanneer het is ingeschakeld, wordt de toegang tot externe bestanden beperkt.
U kunt uw Vite-versie controleren door de opdracht vite --version in uw terminal uit te voeren.
Als u Vite niet onmiddellijk kunt bijwerken, overweeg dan om de toegang tot de ontwikkelserver te beperken tot een vertrouwelijk intern netwerk.
Deze kwetsbaarheid heeft voornamelijk invloed op de ontwikkelserver. Het is echter belangrijk om te updaten naar de nieuwste versie om potentiële beveiligingsproblemen te voorkomen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.