Vite 任意文件读取漏洞 | CVE-2026-39363复现&研究Vite是一个现代前端构建工具,提供极速的服务端启动和模块热更新能力。在受影响版本中,Vite开发服务器的WebSocket 接口存在安全缺陷,允许未经验证Origin头的连接。攻击者可以通过发送特定的vite:invoke自定义WebSocket事件来调用fetchModule函数,并利用file://协议结合?raw或?inline查询参数构造请求。由于该执行路径未应用server.fs.allow等访问控制策略,远程攻击者可借此读取开发服务器所在主机上的任意敏感文件内容。