起因
最近接到安全部门的同事说vite存在安全漏洞 mp.weixin.qq.com/s/ZTr-hiqnU…
受影响的版本:
查看了下自己的项目 4.3.9
尝试
心想打包的工具哪有啥漏洞,结果根据文章操作确实能直接通过web访问 系统的文件信息。
启动vite后访问 http://localhost:8001/@fs/etc/passwd?import&raw??
通过@fs 把自己mac电脑的 /etc/passwd的信息都打印出来的
修复
根据指引
升级一下vite到对应版本即可,直接修改package.json 调整版本号即可。
重新 npm i
运行 http://localhost:8001/@fs/etc/passwd?import&raw??
总结
虽然我们很少会用这种调试模式发布到外网供别人访问,都是本地调试阶段使用,在线上一般更多的是jenkins构建的时候会触发一下vite的构建,不存在长期的端口服务。
但是本着防范于未然,家人们有条件还是升级下。
