Vite — это платформа для создания интерфейсов javascript. Опция сервера разработки Vite `server.fs.deny` может быть обойдена в файловых сис…

Vite — это платформа для создания интерфейсов javascript. Опция сервера разработки Vite `server.fs.deny` может быть обойдена в файловых системах, нечувствительных к регистру, с использованием версий имен файлов, дополненных регистром. В частности, это влияет на серверы, размещенные в Windows. Этот обход аналогичен CVE-2023-34092 — с поверхностью атаки, уменьшенной до хостов с файловыми системами, нечувствительными к регистру. Поскольку `picomatch` по умолчанию использует сопоставление глобусов с учетом регистра, а файловый сервер не различает регистр, возможен обход черного списка. Запрашивая необработанные пути файловой системы с использованием дополненного регистра, сопоставитель, полученный из `config.server.fs.deny`, не блокирует доступ к конфиденциальным файлам. Эта проблема устранена в vite@5.0.12, vite@4.5.2, vite@3.2.8 и vite@2.9.17. Пользователям рекомендуется обновиться. Пользователям, не имеющим возможности обновиться, следует ограничить доступ к серверам разработки.