Vite - это фреймворк для разработки фронтенда для JavaScript. В версиях до 7.1.5, 7.0.7, 6.3.6 и 5.4.20 любые HTML-файлы на машине обслужив…
Vite - это фреймворк для разработки фронтенда для JavaScript. В версиях до 7.1.5, 7.0.7, 6.3.6 и 5.4.20 любые HTML-файлы на машине обслуживались независимо от настроек `server.fs`. Уязвимость затрагивает приложения, которые открывают сервер разработки Vite для сети, используют `appType: 'spa'` или `appType: 'mpa'`, и также затрагивает сервер предварительного просмотра. Исправление доступно в версиях 7.1.5, 7.0.7, 6.3.6 и 5.4.20 [1]. Проблема заключается в том, что промежуточное ПО `serveStaticMiddleware` не применяет настройки `server.fs` к HTML-файлам, что позволяет получить доступ к произвольным HTML-файлам на сервере. Источники: - [1] https://github.com/vitejs/vite/security/advisories/GHSA-jqfw-vq24-v9c3 - [2] https://github.com/vitejs/vite/commit/0ab19ea9fcb66f544328f442cf6e70f7c0528d5f - [3] https://github.com/vitejs/vite/commit/14015d794f69accba68798bd0e15135bc51c9c1e - [4] https://github.com/vitejs/vite/commit/482000f57f56fe6ff2e905305100cfe03043ddea - [5] https://github.com/vitejs/vite/commit/6f01ff4fe072bcfcd4e2a84811772b818cd51fe6
Продукт использует внешние входные данные для формирования пути, который должен находиться в пределах ограниченного каталога, однако не нейтрализует должным образом последовательности типа «..», которые могут разрешаться в расположение за пределами этого каталога.
https://cwe.mitre.org/data/definitions/23.html →Открыть в коллекции CWE →Злоумышленник манипулирует входными данными, которые целевое программное обеспечение передаёт в вызовы файловой системы операционной системы. Цель — получить доступ и, возможно, модифицировать области файловой системы, к которым целевое программное обеспечение не должно было предоставлять доступ.
https://capec.mitre.org/data/definitions/76.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует слабость в проверке входных данных цели, предоставляя специально сформированный путь с использованием точек и слешей для получения доступа к произвольным файлам или ресурсам. Злоумышленник изменяет известный путь в цели для доступа к материалам, недоступным через штатные каналы. Как правило, данные атаки предполагают добавление дополнительных разделителей пути (/ или \) и/или точек (.), либо их кодирований, в различных комбинациях для перехода в родительские каталоги или совершенно иные ветви структуры каталогов цели.
https://capec.mitre.org/data/definitions/139.html →Открыть в коллекции CAPEC →