Описание
Уязвимость функции transformMiddleware механизма @fs локального сервера разработки приложений Vite связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, читать произвольные файлы путем отправки специально сформированного GET-запроса
Вендор
Evan You
Наименование ПО
Vite
Версия ПО
до 6.2.3 (Vite)
до 6.1.2 (Vite)
до 6.0.12 (Vite)
до 5.4.15 (Vite)
до 4.5.10 (Vite)
Тип ПО
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
-
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,5)
Возможные меры по устранению уязвимости
Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений (WAF);
- ограничение возможности перехода по ссылкам, полученных из недоверенных источников;
- использование «белого» списка IP-адресов для ограничения доступа к уязвимому программному обеспечению;
- использование SIEM-систем для отслеживания попыток эксплуатации уязвимости;
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для выявления и реагирования на попытки эксплуатации уязвимости;
- ограничение доступа из внешних сетей (Интернет);
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Статус уязвимости
Потенциальная уязвимость
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Информация об устранении отсутствует
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
6.5 Medium
CVSS3
7.8 High
CVSS2
Связанные уязвимости
CVSS3: 6.5
fstec
11 месяцев назад
Уязвимость функции transformMiddleware механизма @fs локального сервера разработки приложений Vite, позволяющая нарушителю читать произвольные файлы
6.5 Medium
CVSS3
7.8 High
CVSS2