CVE-2026-39363Vite是流行的前端工具框架。在6.0.0至6.4.2之前、7.3.2之前及8.0.5之前的版本中,存在严重的安全漏洞。攻击者若能在无Origin头的情况下连接至Vite开发服务器的WebSocket接口,可发送`vite:invoke`事件调用`fetchModule`,结合`file://`协议与`?raw`参数读取服务器上任意文件内容。该利用路径绕过了HTTP请求中设置的`server.fs.allow`等访问控制,导致敏感信息泄露,风险较高。
该漏洞源于Vite开发服务器WebSocket接口的访问控制机制缺陷。虽然HTTP请求路径通过`server.fs.allow`配置限制了文件访问范围,但WebSocket接口未正确校验请求头的Origin,允许无认证连接。攻击者可利用这一差异,通过WebSocket发送自定义的`vite:invoke`事件,进而调用服务端的`fetchModule`函数。通过精心构造载荷,使用`file://`协议指定绝对路径(例如`file:///etc/passwd`),并添加`?raw`或`?inline`参数,服务器会将目标文件内容直接作为JavaScript字符串响应返回。由于该执行路径未应用文件系统访问限制,攻击者可读取服务器上的任意敏感文件,导致信息泄露。