CVE-2026-39365 in viteinformazioni

Riassunto

di VulDB • 14/06/2026

Vite è un framework di tooling frontend per JavaScript. Dalla versione 6.0.0 fino alle versioni precedenti alla 6.4.2, nonché nelle versioni 7.3.2 e 8.0.5 (intese come le ultime patch prima delle correzioni), la gestione da parte del server di sviluppo (dev server) delle richieste .map per le dipendenze ottimizzate risolve i percorsi dei file ed esegue readFile senza filtrare i segmenti ../ presenti nell'URL. Di conseguenza, è possibile aggirare l'allow list strict della configurazione server.fs e recuperare file .map situati al di fuori della radice del progetto, purché possano essere analizzati come JSON valido per le source map. Questa vulnerabilità è stata risolta nelle versioni 6.4.2, 7.3.2 e 8.0.5.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

06/04/2026

Divulgazione

07/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00914

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!