⚡⚡⚡Vite 被发现存在安全漏洞🕷,请及时升级到安全版本

最近用Vite做开发的朋友们得注意了,这个热门的前端构建工具被曝出了一些安全漏洞,尤其是开发服务器(Vite Dev Server)部分。

我先来跟大家聊聊这些漏洞是啥,怎么来的,升级到哪些版本能解决。

升级到安全版本

Vite团队反应挺快,2025年3月24日刚发了新补丁,建议大家直接上这些版本:

  • 6.x系列: 6.2.36.1.26.0.12
  • 5.x系列: 5.4.15
  • 4.x系列: 4.5.10

往期精彩推荐

漏洞有哪些?

1. CORS和WebSocket的"宽松"问题

简单说,就是 Vite 开发服务器在处理跨源请求和 WebSocket 连接时,有时候太"大手大脚"。

早期版本没严格校验请求来源(Origin),结果随便哪个网站都能发请求过来,甚至拿到响应数据。这要是被坏人利用,可能就搞出跨站 WebSocket 劫持(CSWSH)这种花样。

2. 文件系统访问被绕过

这个听着有点吓人------有人能通过特殊URL(比如加个双斜杠//)钻空子,访问到开发服务器根目录外的文件。

尤其在Window这种对大小写不敏感的系统上,更容易中招。

这问题跟 Vite 的文件访问限制(server.fs.deny)没拦严实有关。

3. HTML注入,XSS的"老朋友"

如果项目里手动用了 server.transformIndexHtml,而且没过滤好请求的URL,坏人就能塞点恶意代码进来,搞出跨站脚本攻击(XSS)。不过这得是特定配置(appType: 'custom')加上点了恶意链接才会触发。

4. esbuild依赖的"坑"

Vite 依赖的构建工具 esbuild0.24.2及以下版本)也有问题,允许外部网站随便发请求到开发服务器。这纯属开发时的麻烦,生产环境没事,但谁也不想本地被搞乱吧。

5. 其他小麻烦

还有些零散的问题,比如 DOM Clobbering(构建特定格式时可能出乱子),或者用 ?import&raw 参数不小心泄露文件内容。这些都跟配置和版本有关,升级就能少踩坑。

为啥会有这些漏洞?

其实大部分问题都出在开发服务器的设计和依赖上。Vite 为了开发方便,默认设置比较宽松,像 CORS 不严格、文件访问没锁死,都是为了让开发者少折腾。但这也给了漏洞可乘之机。加上依赖的 esbuild 没及时更新,就多了一层风险。好在这些基本只影响本地,生产构建没啥大问题。

升级命令:

bash 复制代码
npm update vite

总结

虽然漏洞数量较多,但主要影响开发环境。官方响应迅速,建议开发者及时更新到安全版本!

相关推荐
Carlos_sam1 分钟前
Opnelayers:ol-wind之Field 类属性和方法详解
前端·javascript
小毛驴85011 分钟前
创建 Vue 项目的 4 种主流方式
前端·javascript·vue.js
誰能久伴不乏40 分钟前
Linux如何执行系统调用及高效执行系统调用:深入浅出的解析
java·服务器·前端
涔溪2 小时前
响应式前端设计:CSS 自适应布局与字体大小的最佳实践
前端·css
今禾2 小时前
前端开发中的Mock技术:深入理解vite-plugin-mock
前端·react.js·vite
你这个年龄怎么睡得着的2 小时前
Babel AST 魔法:Vite 插件如何让你的 try...catch 不再“裸奔”?
前端·javascript·vite
我想说一句2 小时前
掘金移动端React开发实践:从布局到样式优化的完整指南
前端·react.js·前端框架
jqq6662 小时前
Vue3脚手架实现(九、渲染typescript配置)
前端
码间舞2 小时前
Zustand 与 useSyncExternalStore:现代 React 状态管理的极简之道
前端·react.js
Dream耀2 小时前
提升React移动端开发效率:Vant组件库
前端·javascript·前端框架