Vite Dev Server /node_modules/.vite/deps 文件读取漏洞 （CVE-2026-39365）

影响产品：Vite Dev Server CVSS：6.5 漏洞类型：文件读取 漏洞描述： Vite 是一个现代化的前端构建工具，其开发服务器在特定版本中存在路径遍历漏洞。该漏洞源于开发服务器在处理优化依赖项（optimized deps）的 .map 文件请求时，未对 URL 中的 ../ 路径遍历序列进行有效限制，导致攻击者能够绕过 server.fs.strict 安全配置。利用此漏洞，攻击者可读取项目根目录之外的任意 .map 文件，从而泄露文件系统的绝对路径，并可能获取包含敏感源代码或配置信息的源映射文件。该漏洞利用难度低，影响暴露在公网上的 Vite 开发服务器，可导致敏感信息泄露，建议相关开发人员立即升级至安全版本以规避风险。 影响： 该路径遍历漏洞允许攻击者绕过 server.fs.strict 限制，通过 ../ 序列读取项目根目录外的任意 .map 文件。攻击者可获取文件系统绝对路径，并可能从源映射文件中还原敏感源代码、环境变量或内部配置，导致严重信息泄露。漏洞利用无需复杂条件，公网暴露的 Vite 开发服务器风险极高 修复建议： 立即将 Vite 升级到已修复该漏洞的安全版本（≥2.9.13、3.0.0-alpha.14 或对应修复版本）。若无法立即升级，可临时限制开发服务器的访问来源（如仅监听 localhost 或配置防火墙），并避免将开发服务器直接暴露在公网环境。 FOFA： body="/@vite/client" && body="div"