CVE-2026-41211Vite+是一个统一的Web开发工具链。在0.1.17版本之前,downloadPackageManager()函数存在路径穿越漏洞。由于该函数直接使用不可信的version字符串构建文件系统路径,攻击者可以通过提供../片段或绝对路径,绕过缓存根目录限制,导致Vite+能够删除、替换或填充预期缓存位置之外的任意目录,造成严重的安全风险。
该漏洞的核心在于Vite+组件中downloadPackageManager()函数对输入参数的校验缺失。该函数旨在下载并缓存包管理器,但其直接将用户可控的`version`字符串用于构建文件系统路径,且未进行路径穿越检测或规范化处理。攻击者可利用此特性,在version参数中注入`../`序列或绝对路径(如`/tmp/malicious`)。这导致最终的文件操作路径突破预期的`VP_HOME/package_manager/<pm>/`隔离边界。利用该漏洞,攻击者不仅能删除或篡改受影响主机上的任意文件(若权限允许),还能在非预期目录下写入恶意文件,进而可能提权或植入后门。由于CVSS评分为10.0,且无需用户交互,该漏洞极易被自动化攻击利用。