一、 漏洞 CVE-2024-45811 基础信息
漏洞标题
在使用vite的`?import&raw`时,`server.fs.deny`被绕过了
来源:AIGC 神龙大模型
漏洞描述信息
Vite是一个前端构建工具框架,用于JavaScript。在受影响的版本中,任意文件的内容可以被返回到浏览器。`@fs`拒绝访问Vite服务允许列表之外的文件。将`?import&raw`添加到URL中可以绕过此限制,如果文件存在则返回文件内容。此问题在版本5.4.6、5.3.6、5.2.14、4.5.5和3.2.11中已被修复。建议用户进行升级。对于此漏洞,目前没有已知的补救方法。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:AIGC 神龙大模型
漏洞标题
server.fs.deny bypassed when using ?import&raw in vite
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Vite a frontend build tooling framework for javascript. In affected versions the contents of arbitrary files can be returned to the browser. `@fs` denies access to files outside of Vite serving allow list. Adding `?import&raw` to the URL bypasses this limitation and returns the file content if it exists. This issue has been patched in versions 5.4.6, 5.3.6, 5.2.14, 4.5.5, and 3.2.11. Users are advised to upgrade. There are no known workarounds for this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
Vite 访问控制错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Vite是Vite开源的一种新型的前端构建工具。 Vite存在访问控制错误漏洞,该漏洞源于任意文件的内容都可以返回到浏览器。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-45811 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-45811 的情报信息
-
标题: server.fs.deny bypassed when using ?import&raw · Advisory · vitejs/vite · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
- https://nvd.nist.gov/vuln/detail/CVE-2024-45811