登录
poc提交
漏洞列表
漏洞环境
排行榜
>最新资讯
插件下载
资产测绘
首页
poc提交
漏洞列表
漏洞环境
排行榜
最新资讯
插件下载
NEW
资产测绘
登录
Vite WebSocket 任意文件读取漏洞(CVE-2026-39363)
威胁等级:
高危
漏洞分类:
任意文件读取
影响资产分类:
应用服务
检索条件:
游客用户没有权限查看,请
登录
DVB:
DVB-2026-11098
CVE:
CVE-2026-39363
CNVD:
CNNVD:
漏洞描述:
Vite Dev Server 5.0.0-beta.18、4.5.3 及更早版本在处理 WebSocket 接口中的 fetchModule 命令时存在文件路径验证不当漏洞。服务器未对通过 WebSocket 接口处理 fetchModule 命令时的文件路径进行适当验证,允许远程攻击者通过构造恶意 WebSocket 消息请求 file:// 协议 URL 来读取服务器文件系统中的任意文件。这可能导致敏感配置文件、源代码、环境变量、数据库凭证和其他敏感信息的泄露。
漏洞详情:
游客用户没有权限查看,请
登录
修复建议:
立即升级 Vite 到 5.0.0-beta.18 或更高版本,或 4.5.3 及更高版本。 如果无法升级,请限制 WebSocket 仅允许可信来源访问。 避免将 Vite Dev Server 暴露到公共互联网。 使用防火墙规则阻止来自不受信任网络的开发服务器端口直接访问。
POC下载
登录后下载
环境验证
该poc暂无验证环境
匿名
历史积分:未知
提交POC:未知
相关推荐
青之LIMS BatchDownloadPdf存在任意文件读取漏洞
esm.sh存在任意文件读取漏洞(CVE-2025-59341)
雨诺调度客户端 GetFile 任意文件读取漏洞
访问地址:
1.1.1.1
端口说明:
8080:9090
8080:9090
启动环境
扫码添加“小Ray运营君”拉你进群
