CVE-2026-39365 是 Vite 前端工具框架中的一个路径遍历漏洞。该漏洞允许攻击者绕过服务器安全限制,读取未经授权的 .map 文件,可能导致敏感信息泄露。受影响的版本包括 Vite 6.0.0 到 6.4.1、7.3.1 以及 8.0.0 到 8.0.4。该漏洞已在 6.4.2、7.3.2 和 8.0.5 版本中修复。
Vite 中的 CVE-2026-39365 影响 6.0.0 到 6.4.2 之前的版本、7.3.2 和 8.0.5。它允许攻击者绕过 Vite 开发服务器的 server.fs.strict 允许列表。这通过操作 .map (源映射) 文件请求来访问项目根目录之外的文件来实现。在受影响的版本中,Vite 开发服务器不会正确验证 .map 请求中的文件路径,允许使用 ../ 序列导航到预期目录之外。如果攻击者能够提供指向外部 .map 文件的有效路径,并且该文件是有效的 JSON,则他们可以访问它。主要影响是源映射文件中可能包含的敏感信息泄露,但这些信息的有用性取决于源代码的性质和环境的安全配置。
利用此漏洞需要访问 Vite 开发服务器,可以通过直接 HTTP 请求或通过操纵浏览器开发工具来实现。攻击者可以创建恶意的请求,该请求请求一个 .map 文件,其路径包含 ../ 序列以导航到项目根目录之外。利用的难度取决于文件系统的结构和可访问的外部 .map 文件的可用性。利用的成功也取决于攻击者解释获取的 .map 文件内容的的能力,其中可能包含有关源代码的敏感信息。
漏洞利用状态
EPSS
4.05% (89% 百分位)
CISA SSVC
为了减轻此漏洞,建议将 Vite 更新到 6.4.2、7.3.2 或 8.0.5 版本。这些版本包含一个修复程序,该程序可以正确验证 .map 请求中的文件路径,从而防止未经授权访问外部文件。此外,请检查 server.fs.strict 配置,以确保仅允许必要的目录。如果无法立即更新,请考虑将开发服务器的访问限制为受信任的内部网络,尽管这并不能消除潜在的漏洞。尽快应用更新对于防止潜在攻击至关重要。
Actualice Vite a la versión 6.4.2, 7.3.2 o 8.0.5 para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización corrige la forma en que el servidor de desarrollo maneja las solicitudes de .map, restringiendo el acceso a archivos fuera del directorio raíz del proyecto.
漏洞分析和关键警报直接发送到您的邮箱。
.map 文件是 '源映射' 文件,它将编译的 (minify 或 obfuscate) JavaScript 代码映射到原始源代码。它们用于简化调试。
这是一个 Vite 配置选项,用于控制开发服务器是否允许访问项目根目录之外的文件。启用时,它会限制对外部文件的访问。
您可以通过在终端中运行 vite --version 命令来检查您的 Vite 版本。
如果无法立即更新 Vite,请考虑将开发服务器的访问限制为受信任的内部网络。
此漏洞主要影响开发服务器。但是,重要的是要更新到最新版本以避免潜在的安全问题。