PT-2024-19813 · Vite · Vite
Dariushoule
·
Publicado
2024-01-19
·
Atualizado
2025-01-17
·
CVE-2024-23331
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Vite anteriores à 2.9.17
Versões do Vite anteriores à 3.2.8
Versões do Vite anteriores à 4.5.2
Versões do Vite anteriores à 5.0.12
Descrição
A opção do servidor de desenvolvimento do Vite
server.fs.deny pode ser contornada em sistemas de arquivos que não diferenciam maiúsculas de minúsculas usando versões de nomes de arquivos com maiúsculas e minúsculas alteradas, afetando notavelmente servidores hospedados no Windows. Esse contorno é possível porque o picomatch usa por padrão a correspondência glob com distinção de maiúsculas e minúsculas, mas o servidor de arquivos não faz essa distinção. Ao solicitar caminhos brutos do sistema de arquivos usando maiúsculas e minúsculas, o comparador derivado de config.server.fs.deny não consegue bloquear o acesso a arquivos confidenciais.Recomendações
Para versões anteriores à 2.9.17, atualize para a versão 2.9.17 ou posterior.
Para versões anteriores à 3.2.8, atualize para a versão 3.2.8 ou posterior.
Para versões anteriores à 4.5.2, atualize para a versão 4.5.2 ou posterior.
Para versões anteriores à 5.0.12, atualize para a versão 5.0.12 ou posterior.
Como solução temporária, considere restringir o acesso aos servidores de desenvolvimento até que um patch esteja disponível.
Exploit
Correção
Information Disclosure
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Vite