Vite 开发服务器漏洞
漏洞危害
对于使用 Vite 老版本(包括但不限于 >=6.2.0, <=6.2.2;>=6.1.0, <=6.1.1;>=6.0.0, <=6.0.11;>=5.0.0, <=5.4.14;<=4.5.9)的开发者和企业运维人员来说,这是一个不容忽视的问题。因为攻击者只需在浏览器中输入特定的 URL,就有可能获取目标机器上的源码、SSH 密钥、数据库账号、用户数据等任意文件信息,从而导致敏感信息泄露。
漏洞再现
FOFA
body="/@vite/client"
在浏览器中输入 “http://[目标 IP]:5173/etc/passwd?raw”(以读取 etc/passwd 文件为例),即可成功读取系统文件内容。
修复建议
将 Vite 版本升级到官方公布的补丁版本,如 Vite 6.2.3、6.1.2、6.0.12、5.4.15、4.5.10 或更高版本,以获得官方修复后的安全保障。
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.dtcms.com/a/94892.html
如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!