CVE-2026-39363｜Vite存在任意文件读取漏洞（POC）

0x00 前言

Vite是一个现代化的前端构建工具，旨在通过利用现代浏览器的原生ES模块支持，提供快速的开发体验。广泛应用于Vue.js等项目的开发中。在其开发服务器模式下，Vite提供了@fs机制，用于访问服务允许范围内的文件。

Vite 由两部分组成：

1、开发服务器：基于原生ES模块，提供超快的热更新。

2、构建命令：使用Rollup打包代码，生成适用于生产环境的优化静态资源。

0x01 漏洞描述

漏洞源于Vite dev server WebSocket暴露的fetchModule方法未正确执行server.fs访问控制检查，导致HTTP路径下原本受限的文件系统访问限制可被绕过。

攻击者在满足特定条件下，可通过构造vite:invoke WebSocket事件，并结合file://...与?raw或?inline参数，读取开发机、CI环境或容器中的任意文件内容。该问题可能导致源码、密钥、配置文件及环境变量泄露。

0x02 CVE编号

CVE-2026-39363

0x03 影响版本

8.0.0 <= vite <= 8.0.4
7.0.0 <= vite <= 7.3.1
6.0.0 <= vite <= 6.4.1
vite-plus <= 0.1.15

0x04 漏洞详情

POC：

https://github.com/Elnora-AI/elnora-cli/issues/54

0x05 参考链接

https://github.com/Elnora-AI/elnora-cli/issues/54

https://github.com/vitejs/vite/security/advisories/GHSA-p9ff-h696-f583

Ps：国内外安全热点分享，欢迎大家分享、转载，请保证文章的完整性。文章中出现敏感信息和侵权内容，请联系作者删除信息。信息安全任重道远，感谢您的支持！！！