V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
← Вернуться к списку
DebianДистрибутивdebian

Node-vite

Уязвимости
19
Эксплуатируемые
1
Макс. CVSS
8.4
Макс. EPSS
0.78572

Распределение по критичности

Критический
0
Высокий
7
Средний
10
Низкий
2
Также сопоставлено как (исходные строки): node-vite

Топ уязвимостей

CVE-2026-41211Vite+ - это унифицированная цепочка инструментов и точка входа для веб-разработки. До версии 0.1.17 «downloadPackageManager()` принимает ненадежную `версию строки и использует ее непосредственно в точках файловой системы. Соответчики могут предоставить `.../` сегменты или абсолютный путь, чтобы избежать корня кэша `VP_HOME/P?package_manager/<pm>/` и заставить Vite+ удалять, заменять и заполнять каталоги за пределами предполагаемого местоположения кэша. Версия 0.1.17 содержит патч.
CVE-2026-39364Vite - это интерфейсный инструментарий для JavaScript. С 7.1,0 до 7.3.2 и 8.0.5 на сервере Vite dev файлы, которые должны быть заблокированы server.fs.deny (например, .env, *.crt) могут быть извлечены с ответами HTTP 200, когда добавлены параметры запроса, такие как ?raw, ?import&raw или ?import&url&inline. Эта уязвимость исправлена в 7.3.2 и 8.0.5.
CVE-2026-39363Vite - это интерфейсный инструментарий для JavaScript. От 6.0.0 до 6.4.2, 7.3.2 и 8.0.5, если возможно подключиться к WebSocket сервера Vite dav без заголовка Origin, злоумышленник может вызвать fetchModule через пользовательский веб-событие vite:invoke и соединить файл://... с ?raw (или ?inline) для извлечения содержимого произвольных файлов на сервере. Контроль доступа, применяемый в пути запроса HTTP (например, server.fs.allow), не применяется к этому пути выполнения на основе WebSocket. Эта уязвимость зафиксирована в 6.4.2, 7.3.2 и 8.0.5.
CVE-2025-31125Vite - это фреймворк инструментов фронтенда для JavaScript. Vite открывает содержимое неразрешенных файлов с помощью ?inline&import или ?raw?import. Затронуты только приложения, явно открывающие сервер разработки Vite для сети (с помощью опции конфигурации --host или server.host). Эта уязвимость исправлена в версиях 6.2.4, 6.1.3, 6.0.13, 5.4.16 и 4.5.11.
CVE-2025-30208Vite, поставщик инструментов разработки фронтенда, имеет уязвимость в версиях до 6.2.3, 6.1.2, 6.0.12, 5.4.15 и 4.5.10. `@fs` отказывает в доступе к файлам вне разрешенного списка Vite. Добавление `?raw??` или `?import&raw??` к URL обходит это ограничение и возвращает содержимое файла, если оно существует. Это обход существует, потому что завершающие разделители, такие как `?`, удаляются в нескольких местах, но не учитываются в регулярных выражениях строки запроса. Содержимое произвольных файлов может быть возвращено в браузер. Затронуты только приложения, явно выставляющие сервер разработки Vite в сеть (с использованием опции конфигурации `--host` или `server.host`). Версии 6.2.3, 6.1.2, 6.0.12, 5.4.15 и 4.5.10 исправляют эту проблему.
CVE-2024-23331Vite — это платформа для создания интерфейсов javascript. Опция сервера разработки Vite `server.fs.deny` может быть обойдена в файловых системах, нечувствительных к регистру, с использованием версий имен файлов, дополненных регистром. В частности, это влияет на серверы, размещенные в Windows. Этот обход аналогичен CVE-2023-34092 — с поверхностью атаки, уменьшенной до хостов с файловыми системами, нечувствительными к регистру. Поскольку `picomatch` по умолчанию использует сопоставление глобусов с учетом регистра, а файловый сервер не различает регистр, возможен обход черного списка. Запрашивая необработанные пути файловой системы с использованием дополненного регистра, сопоставитель, полученный из `config.server.fs.deny`, не блокирует доступ к конфиденциальным файлам. Эта проблема устранена в vite@5.0.12, vite@4.5.2, vite@3.2.8 и vite@2.9.17. Пользователям рекомендуется обновиться. Пользователям, не имеющим возможности обновиться, следует ограничить доступ к серверам разработки.
CVE-2023-34092Vite предоставляет инструменты для разработки интерфейса. До версий 2.9.16, 3.2.7, 4.0.5, 4.1.5, 4.2.3 и 4.3.9 параметры сервера Vite (`server.fs.deny`) можно обойти, используя двойную косую черту (//), что позволяет любому не прошедшему проверку подлинности пользователю читать файлы из корневого пути Vite приложения, включая настройки `fs.deny` по умолчанию (`['.env', '.env.*', '*.{crt,pem}']`). Затронуты только пользователи, явно предоставляющие dev-сервер Vite сети (используя параметр конфигурации `--host` или `server.host`), и можно предоставить только файлы в непосредственной корневой папке проекта Vite. Эта проблема исправлена в vite@4.3.9, vite@4.2.3, vite@4.1.5, vite@4.0.5, vite@3.2.7 и vite@2.9.16.
CVE-2025-24010Vite - это платформа для создания интерфейсов javascript. Vite разрешал любым веб-сайтам отправлять любые запросы на сервер разработки и читать ответ из-за настроек CORS по умолчанию и отсутствия проверки заголовка Origin для WebSocket-соединений. Эта уязвимость устранена в версиях 6.0.9, 5.4.12 и 4.5.6.
CVE-2024-45812Vite - это платформа для создания интерфейсных инструментов для javascript. Было обнаружено, что затронутые версии vite содержат уязвимость DOM Clobbering при создании скриптов в выходной формат `cjs`/`iife`/`umd`. Гаджет DOM Clobbering в модуле может привести к межсайтовому скриптингу (XSS) на веб-страницах, где присутствуют нескриптовые HTML-элементы, контролируемые злоумышленником (например, тег img с неочищенным атрибутом name). DOM Clobbering - это тип атаки с повторным использованием кода, когда злоумышленник сначала встраивает в веб-страницу часть нескриптовой, казалось бы, безобидной HTML-разметки (например, через сообщение или комментарий) и использует гаджеты (части кода js), находящиеся в существующем коде javascript, чтобы преобразовать ее в исполняемый код. Мы выявили уязвимость DOM Clobbering в связанных скриптах Vite, особенно когда скрипты динамически импортируют другие скрипты из папки активов, а разработчик устанавливает формат вывода сборки `cjs`, `iife` или `umd`. В таких случаях Vite заменяет относительные пути, начинающиеся с `__VITE_ASSET__`, используя URL-адрес, полученный из `document.currentScript`. Однако эта реализация уязвима для атаки DOM Clobbering. Поиск `document.currentScript` может быть затенен злоумышленником через механизм именованного доступа к элементам дерева DOM браузера. Эта манипуляция позволяет злоумышленнику заменить предполагаемый элемент скрипта вредоносным HTML-элементом. В этом случае атрибут src элемента, контролируемого злоумышленником, используется в качестве URL-адреса для импорта скриптов, что может привести к динамической загрузке скриптов с сервера, контролируемого злоумышленником. Эта уязвимость может привести к межсайтовому скриптингу (XSS) на веб-сайтах, которые включают файлы, связанные с Vite (настроенные с выходным форматом `cjs`, `iife` или `umd`), и позволяют пользователям внедрять определенные нескриптовые HTML-теги без надлежащей очистки атрибутов name или id. Эта проблема была исправлена в версиях 5.4.6, 5.3.6, 5.2.14, 4.5.5 и 3.2.11. Всем пользователям рекомендуется обновиться. Обходных путей для этой уязвимости нет.
CVE-2026-39365Vite - это интерфейсный инструментарий для JavaScript. С 6.0.0 до 6.4.2, 7.3.2 и 8.0.5 обработка сервером .map запросов на оптимизированные зависимости разрешает пути чтения файлов и вызовов, не ограничивая ../ сегменты URL. В результате можно обойти список server.fs.strict разрешить список и извлекать .map файлы, расположенные вне корня проекта, при условии, что они могут быть разобраны как действительная карта источника JSON. Эта уязвимость зафиксирована в 6.4.2, 7.3.2 и 8.0.5.
CVE-2023-49293Vite — это фреймворк для внешнего интерфейса веб-сайта. Когда преобразование HTML Vite вызывается вручную через `server.transformIndexHtml`, исходный URL-адрес запроса передается без изменений, а `html`, который преобразуется, содержит встроенные скрипты модулей (`<script type="module">...</script>`), можно внедрить произвольный HTML в преобразованный вывод, предоставив вредоносную строку запроса URL-адреса в `server.transformIndexHtml`. Затронуты только приложения, использующие `appType: 'custom'` и использующие промежуточное ПО Vite HTML по умолчанию. Запись HTML также должна содержать встроенный скрипт. Атака требует, чтобы пользователь нажал на вредоносный URL-адрес во время работы сервера разработки. Ограниченные файлы не предоставляются злоумышленнику. Эта проблема была устранена в vite@5.0.5, vite@4.5.1 и vite@4.4.12. Известных обходных путей для этой уязвимости нет.
CVE-2025-62522В Vite (версии 2.9.18‑<3.0.0, 3.2.9‑<4.0.0, 4.5.3‑<5.0.0, 5.2.6‑<5.4.21, 6.0.0‑<6.4.1, 7.0.0‑<7.0.8, 7.1.0‑<7.1.11) обнаружена уязвимость обхода ограничения `server.fs.deny` на Windows. При работе dev‑сервера в Windows, запрос, заканчивающийся обратным слешем (`\`), приводил к удалению завершающего слеша перед проверкой пути, из‑за чего файлы, попадающие под запрет (например, `.env`, `.env.*`, `*.crt`, `*.pem`), могли быть отданы клиенту. Это позволяло злоумышленнику получить конфиденциальные файлы, если сервер был явно открыт в сеть (`--host`), что делает уязвимость средней тяжести (CVSS = 6.0). Уязвимость исправлена в версиях 5.4.21, 6.4.1, 7.0.8 и 7.1.11, где добавлена проверка и обрезка завершающего слеша перед проверкой `server.fs.deny`. [1] [2] Источники: - [1] https://github.com/vitejs/vite/security/advisories/GHSA-93m4-6634-74q7 - [2] https://github.com/vitejs/vite/commit/f479cc57c425ed41ceb434fecebd63931b1ed4ed
CVE-2025-46565Vite - это фреймворк для инструментария фронтенда для JavaScript. До версий 6.3.4, 6.2.7, 6.1.6, 5.4.19 и 4.5.14 содержимое файлов в корневом каталоге проекта, запрещенных шаблоном сопоставления файлов, может быть возвращено браузеру. Затронуты только приложения, явно раскрывающие сервер разработки Vite в сеть (с помощью опции --host или server.host config). Только файлы, находящиеся в корневом каталоге проекта и запрещенные шаблоном сопоставления файлов, могут быть обойдены [1]. server.fs.deny может содержать шаблоны, соответствующие файлам (по умолчанию включает .env, .env.*, *.{crt,pem}). Эти шаблоны могут быть обойдены для файлов в корне проекта с помощью комбинации слэша и точки (/.). Источники: - [1] https://github.com/vitejs/vite/security/advisories/GHSA-859w-5945-r5v3 - [2] https://github.com/vitejs/vite/commit/c22c43de612eebb6c182dd67850c24e4fab8cacb
CVE-2025-32395Vite - это фреймворк для frontend инструментария javascript. До версий 6.2.6, 6.1.5, 6.0.15, 5.4.18 и 4.5.13 содержимое произвольных файлов может быть возвращено браузеру, если dev сервер запущен на Node или Bun. Спецификация HTTP 1.1 (RFC 9112) не разрешает # в request-target. Хотя злоумышленник может отправить такой запрос. Для запросов с недопустимой request-line (которая включает request-target) спецификация рекомендует отклонять их с 400 или 301. То же самое можно сказать и для HTTP 2. На Node и Bun эти запросы не отклоняются внутренне и передаются в пользовательское пространство. Для таких запросов значение http.IncomingMessage.url содержит #. Vite предполагал, что req.url не будет содержать # при проверке server.fs.deny, позволяя таким запросам обойти проверку. Уязвимы только приложения, явно открывающие Vite dev сервер для сети (используя --host или server.host config option) и запускающие Vite dev сервер на runtime, отличных от Deno (например, Node, Bun) [1][2]. Источники: - [1] https://github.com/vitejs/vite/security/advisives/GHSA-356w-63v5-8wf4 - [2] https://github.com/vitejs/vite/commit/175a83909f02d3b554452a7bd02b9f340cdfef70
CVE-2025-31486Vite — это фронтенд-рамка инструментов для JavaScript. Содержимое произвольных файлов может быть возвращено в браузер. Добавляя ?.svg с ?.wasm?init или с заголовком sec-fetch-dest: script, ограничение server.fs.deny может быть обойдено. Этот обход возможен только в случае, если файл меньше, чем build.assetsInlineLimit (по умолчанию: 4kB) и при использовании Vite 6.0+. Подвергаются опасности только приложения, которые явно открывают сервер разработки Vite в сети (используя --host или параметр конфигурации server.host). Эта уязвимость исправлена в 4.5.12, 5.4.17, 6.0.14, 6.1.4 и 6.2.5.
CVE-2024-45811Vite - это платформа для создания интерфейсных инструментов для javascript. В затронутых версиях содержимое произвольных файлов может быть возвращено в браузер. `@fs` запрещает доступ к файлам за пределами списка разрешений Vite. Добавление `?import&raw` к URL-адресу обходит это ограничение и возвращает содержимое файла, если он существует. Эта проблема была исправлена в версиях 5.4.6, 5.3.6, 5.2.14, 4.5.5 и 3.2.11. Всем пользователям рекомендуется обновиться. Обходных путей для этой уязвимости нет.
CVE-2022-35204Обнаружено, что Vitejs Vite до версии v2.9.13 позволяет злоумышленникам выполнять обход каталогов через специально созданный URL-адрес к службе жертвы.
CVE-2025-58752Vite - это фреймворк для разработки фронтенда для JavaScript. В версиях до 7.1.5, 7.0.7, 6.3.6 и 5.4.20 любые HTML-файлы на машине обслуживались независимо от настроек `server.fs`. Уязвимость затрагивает приложения, которые открывают сервер разработки Vite для сети, используют `appType: 'spa'` или `appType: 'mpa'`, и также затрагивает сервер предварительного просмотра. Исправление доступно в версиях 7.1.5, 7.0.7, 6.3.6 и 5.4.20 [1]. Проблема заключается в том, что промежуточное ПО `serveStaticMiddleware` не применяет настройки `server.fs` к HTML-файлам, что позволяет получить доступ к произвольным HTML-файлам на сервере. Источники: - [1] https://github.com/vitejs/vite/security/advisories/GHSA-jqfw-vq24-v9c3 - [2] https://github.com/vitejs/vite/commit/0ab19ea9fcb66f544328f442cf6e70f7c0528d5f - [3] https://github.com/vitejs/vite/commit/14015d794f69accba68798bd0e15135bc51c9c1e - [4] https://github.com/vitejs/vite/commit/482000f57f56fe6ff2e905305100cfe03043ddea - [5] https://github.com/vitejs/vite/commit/6f01ff4fe072bcfcd4e2a84811772b818cd51fe6
CVE-2025-58751Vite - это фреймворк для разработки фронтенда для JavaScript. В версиях до 7.1.5, 7.0.7, 6.3.6 и 5.4.20 файлы, начинающиеся с того же имени, что и общедоступный каталог, обслуживались без учета настроек `server.fs`. Уязвимость затрагивает только приложения, которые явно открывают сервер разработки Vite для сети и используют функцию общедоступного каталога. Исправление доступно в версиях 7.1.5, 7.0.7, 6.3.6 и 5.4.20 [1]. Проблема заключается в том, что функция `servePublicMiddleware` не проверяет должным образом, находится ли запрошенный файл в пределах общедоступного каталога, что может привести к обходу настроек безопасности. Для эксплуатации уязвимости необходимо наличие символической ссылки внутри общедоступного каталога. Источники: - [1] https://github.com/vitejs/vite/security/advisories/GHSA-g4jq-h2w9-997c - [2] https://github.com/lukeed/sirv/commit/f0113f3f8266328d804ee808f763a3c11f8997eb - [3] https://github.com/vitejs/vite/commit/09f2b52e8d5907f26602653caf41b3a56692600d - [4] https://github.com/vitejs/vite/commit/4f1c35bcbb5830290c694aa14b6789e07450f069 - [5] https://github.com/vitejs/vite/commit/63e2a5d232218f3f8d852056751e609a5367aaec
Перейти к вендору →Открыть в каталоге с фильтром по продукту →