Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

Voidzero›Приложениеnvd

Vite\+

Уязвимости

4

Эксплуатируемые

0

Макс. CVSS

8.4

Макс. EPSS

0.0229

Распределение по критичности

Критический

0

Высокий

3

Средний

1

Низкий

0

Затронутые диапазоны версий

< 0.1.17≤ 0.1.15

Также сопоставлено как (исходные строки): vite,vite+

Топ уязвимостей

CVE-2026-41211Vite+ - это унифицированная цепочка инструментов и точка входа для веб-разработки. До версии 0.1.17 «downloadPackageManager()` принимает ненадежную `версию строки и использует ее непосредственно в точках файловой системы. Соответчики могут предоставить `.../` сегменты или абсолютный путь, чтобы избежать корня кэша `VP_HOME/P?package_manager/<pm>/` и заставить Vite+ удалять, заменять и заполнять каталоги за пределами предполагаемого местоположения кэша. Версия 0.1.17 содержит патч.

CVE-2026-39364Vite - это интерфейсный инструментарий для JavaScript. С 7.1,0 до 7.3.2 и 8.0.5 на сервере Vite dev файлы, которые должны быть заблокированы server.fs.deny (например, .env, *.crt) могут быть извлечены с ответами HTTP 200, когда добавлены параметры запроса, такие как ?raw, ?import&raw или ?import&url&inline. Эта уязвимость исправлена в 7.3.2 и 8.0.5.

CVE-2026-39363Vite - это интерфейсный инструментарий для JavaScript. От 6.0.0 до 6.4.2, 7.3.2 и 8.0.5, если возможно подключиться к WebSocket сервера Vite dav без заголовка Origin, злоумышленник может вызвать fetchModule через пользовательский веб-событие vite:invoke и соединить файл://... с ?raw (или ?inline) для извлечения содержимого произвольных файлов на сервере. Контроль доступа, применяемый в пути запроса HTTP (например, server.fs.allow), не применяется к этому пути выполнения на основе WebSocket. Эта уязвимость зафиксирована в 6.4.2, 7.3.2 и 8.0.5.

CVE-2026-39365Vite - это интерфейсный инструментарий для JavaScript. С 6.0.0 до 6.4.2, 7.3.2 и 8.0.5 обработка сервером .map запросов на оптимизированные зависимости разрешает пути чтения файлов и вызовов, не ограничивая ../ сегменты URL. В результате можно обойти список server.fs.strict разрешить список и извлекать .map файлы, расположенные вне корня проекта, при условии, что они могут быть разобраны как действительная карта источника JSON. Эта уязвимость зафиксирована в 6.4.2, 7.3.2 и 8.0.5.

Перейти к вендору →Открыть в каталоге с фильтром по продукту →