概要
Vite の dev サーバー で、server.fs.deny に 指定 した ファイル の 内容 が、クエリ パラメータ 付き の リクエスト で バイパス され、ブラウザ に 返却 される 脆弱性 が 発見 されました。
以下 の 条件 を 満たす 場合 に 影響 を 受け ます:
--hostまたはserver.hostで dev サーバー を ネットワーク に 公開 して いる- 機密 ファイル が
server.fs.allowで 許可 された ディレクトリ 内 に 存在 する
.env ファイル や 設定 ファイル など、server.fs.deny で 保護 して いる ファイル が 読み取られる 可能性 が あります。Vite の デフォルト 設定 では .env や .env.* は server.fs.deny に 含まれて いる ため、この バイパス の 影響 は 大きい と 言え ます。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.5 相当(High、CVSS v4 ベクトル 基準) |
| 攻撃 元区分 | ネットワーク |
| 攻撃 条件 の 複雑さ | 低(ただし 前提条件 あり) |
| 必要 な 特権 | 不要 |
| ユーザー 関与 | 不要 |
| CWE | CWE-22(パス トラバーサル) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響 バージョン |
|---|---|---|
| Vite | vitejs | 8.0.5 より 前 |
| Vite | vitejs | 7.3.2 より 前 |
影響 の 範囲
Vite は フロントエンド 開発 の デファクト スタンダード として 多く の プロジェクト で 採用 されて います。server.fs.deny は .env、.env.local など の 機密 ファイル を ブラウザ から 読み取れない よう に する 保護 機構 ですが、クエリ パラメータ を 付与 する こと で この チェック を バイパス でき ます。環境 変数 に API キー や データベース 接続 文字列 を 格納 して いる プロジェクト で、dev サーバー を --host で 公開 して いる 場合 は 機密 情報 漏洩 の リスク が あります。
修正 バージョン と 回避策
- 修正: Vite 7.3.2 / 8.0.5
- 回避策: dev サーバー を ネットワーク に 公開 しない、機密 ファイル を
server.fs.allowディレクトリ 外 に 配置 する
関連 リンク
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。