一、漏洞详情
Vite是一款现代化的前端开发构建工具,广泛应用于Vue.js项目的开发过程中。
近日,监测到官方修复Vite WebSocket任意文件读取漏洞(CVE-2026-39363),Vite开发服务器WebSocket中的fetchModule方法未实施server.fs访问控制,导致攻击者可通过WebSocket连接并读取服务器上的任意文件。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
8.0.0<=Vite<=8.0.4
7.0.0<=Vite<=7.3.1
6.0.0<=Vite<=6.4.1
Vite<=0.1.15
三、修复建议
目前官方已有可更新版本,建议受影响用户升级至最新版本:
Vite>=8.0.5
Vite>=7.3.2
Vite>=6.4.2
Vite>=0.1.16
