Plataforma
nodejs
Componente
vite
Corrigido em
8.0.1
7.1.1
0.1.17
8.0.5
Uma vulnerabilidade foi descoberta no Vite, um construtor de módulos JavaScript. Essa falha permite que o conteúdo de arquivos especificados em server.fs.deny seja retornado ao navegador, comprometendo a confidencialidade dos dados. A vulnerabilidade afeta aplicações que expõem o servidor de desenvolvimento Vite à rede e possuem arquivos sensíveis dentro dos diretórios permitidos. A correção foi lançada na versão 8.0.5.
Um atacante pode explorar essa vulnerabilidade expondo o servidor de desenvolvimento Vite à rede, utilizando as opções --host ou server.host. Se um arquivo sensível existir nos diretórios permitidos (server.fs.allow) e for negado por um padrão inadequado em server.fs.deny, o atacante poderá solicitar o arquivo diretamente através do navegador, obtendo acesso ao seu conteúdo. Isso pode levar à divulgação de informações confidenciais, como chaves de API, credenciais de banco de dados ou código-fonte sensível. A exploração bem-sucedida depende da configuração específica do servidor Vite e da presença de arquivos sensíveis nos locais corretos.
A vulnerabilidade foi divulgada em 2026-04-06. Não há relatos públicos de exploração ativa no momento. A probabilidade de exploração é considerada média, devido à necessidade de configuração específica do servidor Vite e à presença de arquivos sensíveis. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento.
Development teams using Vite in projects where the development server is inadvertently exposed to the network are at risk. This includes developers using shared hosting environments or those who have not properly configured their Vite server settings. Projects relying on Vite for local development and testing are also vulnerable if the server is accessible from outside the development environment.
• nodejs: Monitor process arguments for --host or --port to identify exposed Vite development servers.
ps aux | grep 'node --host' || ps aux | grep 'node --port'• nodejs: Check for unusual file access patterns within the Vite project directory, particularly targeting files denied by server.fs.deny.
find . -type f -mtime -1 -print0 | xargs -0 ls -l• generic web: Monitor access logs for requests targeting files within the Vite project directory, especially those that should be denied. • generic web: Inspect response headers for unexpected content types or file extensions when accessing files within the Vite project directory.
disclosure
Status do Exploit
EPSS
2.56% (percentil 86%)
CISA SSVC
A mitigação primária é atualizar para a versão 8.0.5 do Vite, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere restringir o acesso ao servidor de desenvolvimento Vite, evitando a exposição direta à rede. Revise e restrinja cuidadosamente as configurações server.fs.allow e server.fs.deny para garantir que apenas arquivos necessários sejam acessíveis e que arquivos sensíveis sejam devidamente protegidos. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações para arquivos sensíveis também pode ajudar a mitigar o risco.
Actualice Vite a la versión 7.3.2 o superior, o a la versión 8.0.5 o superior. Esto corrige la vulnerabilidad al evitar el acceso no autorizado a archivos bloqueados por la configuración `server.fs.deny`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-39364 is a HIGH severity vulnerability affecting Vite versions before 8.0.5. It allows attackers to retrieve sensitive files if the Vite development server is exposed to the network.
You are affected if you are using Vite versions prior to 8.0.5 and your development server is accessible from the network, and sensitive files exist within allowed directories.
Upgrade to Vite version 8.0.5 or later. If immediate upgrade is not possible, restrict network access to the Vite development server and review your server.fs.deny and server.fs.allow configurations.
There is currently no indication of active exploitation campaigns or publicly available proof-of-concept code.
Refer to the Vite project's official security advisory for detailed information and updates: https://vitejs.dev/
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.