描述

前端构建工具 Vite 在 6.2.3 、6.1.2 、6.0.12 、5.4.15 及 4.5.10 之前的版本存在安全漏洞。

正常情况下 @fs 仅允许访问 Vite 服务白名单内的文件，但通过在 URL 后添加?raw??或?import&raw;??参数可绕过限制，返回目标文件内容（若存在）。

该漏洞成因在于多处代码虽移除了尾部分隔符（如?），但未在查询字符串正则表达式中进行相应处理，导致可读取任意文件内容并返回至浏览器。

仅当应用显式将 Vite 开发服务器暴露至网络（使用--host 参数或配置 server.host 选项）时才会受影响。该问题已在 6.2.3 、6.1.2 、6.0.12 、5.4.15 和 4.5.10 版本中修复。

影响

黑客只需在 URL 中加上魔法咒语"?raw??"或"?import&raw;??"，就能绕过 @fs 访问限制，轻松读取你的.env 、API 密钥、.bash_history 甚至那些"绝对不能让人看到"的配置文件！

没错，你的命令历史和各种密钥可能正在向陌生人招手！

修复建议

将 Vite 升级到已修复的版本：6.2.3 、6.1.2 、6.0.12 、5.4.15 或 4.5.10

如非必要，不要使用--host或server.host配置选项将开发服务器暴露在网络上

参考

https://github.com/advisories/GHSA-x574-m823-4x7w