Plataforma
nodejs
Componente
vite
Corrigido em
8.0.1
7.0.1
6.0.1
0.1.17
A vulnerabilidade CVE-2026-39365 é um problema de Path Traversal descoberto no Vite, um bundler de JavaScript. Essa falha permite que atacantes acessem arquivos .map fora do projeto, potencialmente expondo informações sensíveis. A vulnerabilidade afeta aplicações que expõem o servidor de desenvolvimento do Vite na rede, utilizando a opção --host ou a configuração server.host, e que possuem conteúdo sensível em arquivos .map com caminhos previsíveis. A versão 8.0.5 do Vite corrige essa vulnerabilidade.
A vulnerabilidade CVE-2026-39365 no Vite afeta as versões 6.0.0 até a versão anterior a 6.4.2, 7.3.2 e 8.0.5. Ela permite que um atacante ignore a lista de permissões server.fs.strict do servidor de desenvolvimento do Vite. Isso é alcançado manipulando as solicitações de arquivos .map (mapas de origem) para acessar arquivos fora do diretório raiz do projeto. Nas versões afetadas, o servidor de desenvolvimento do Vite não valida corretamente os caminhos de arquivo nas solicitações de .map, permitindo o uso de sequências ../ para navegar fora do diretório esperado. Se o atacante puder fornecer um caminho válido que aponte para um arquivo .map externo que seja um JSON válido, ele poderá acessá-lo. O impacto principal é a possível exposição de informações confidenciais contidas nos arquivos de mapa de origem, embora a utilidade dessas informações dependa da natureza do código-fonte e das configurações de segurança do ambiente.
A exploração desta vulnerabilidade requer acesso ao servidor de desenvolvimento do Vite, seja por meio de uma solicitação HTTP direta ou manipulando as ferramentas de desenvolvimento do navegador. Um atacante pode criar uma solicitação maliciosa que solicite um arquivo .map com um caminho que inclua sequências ../ para navegar fora do diretório raiz do projeto. A dificuldade da exploração depende da estrutura do sistema de arquivos e da disponibilidade de arquivos .map externos acessíveis. O sucesso da exploração também depende da capacidade do atacante de interpretar o conteúdo do arquivo .map obtido, que pode conter informações confidenciais sobre o código-fonte.
Status do Exploit
EPSS
4.05% (percentil 89%)
CISA SSVC
Para mitigar esta vulnerabilidade, recomenda-se atualizar o Vite para a versão 6.4.2, 7.3.2 ou 8.0.5. Essas versões incluem uma correção que valida corretamente os caminhos de arquivo nas solicitações de .map, impedindo o acesso não autorizado a arquivos externos. Além disso, revise a configuração de server.fs.strict para garantir que apenas os diretórios necessários sejam permitidos. Se não for possível atualizar imediatamente, considere restringir o acesso ao servidor de desenvolvimento a uma rede interna confiável, embora isso não elimine a vulnerabilidade subjacente. Aplicar a atualização o mais rápido possível é crucial para proteger contra possíveis ataques.
Actualice Vite a la versión 6.4.2, 7.3.2 o 8.0.5 para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización corrige la forma en que el servidor de desarrollo maneja las solicitudes de .map, restringiendo el acceso a archivos fuera del directorio raíz del proyecto.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Os arquivos .map são arquivos de 'mapa de origem' que mapeiam o código JavaScript compilado (minificado ou ofuscado) para o código-fonte original. Eles são usados para facilitar a depuração.
É uma opção de configuração do Vite que controla se o servidor de desenvolvimento permite o acesso a arquivos fora do diretório raiz do projeto. Quando habilitado, ele restringe o acesso a arquivos externos.
Você pode verificar sua versão do Vite executando o comando vite --version no seu terminal.
Se você não puder atualizar imediatamente, considere restringir o acesso ao servidor de desenvolvimento a uma rede interna confiável.
Esta vulnerabilidade afeta principalmente o servidor de desenvolvimento. No entanto, é importante atualizar para a versão mais recente para evitar possíveis problemas de segurança.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.