One Article Review
| Source |  CVE Liste |
|---|---|
| Identifiant | 8341312 |
| Date de publication | 2023-06-01 17:15:10 (vue: 2023-06-01 19:08:00) |
| Titre | CVE-2023-34092 |
| Texte | Vite fournit des outils de frontend.Avant les versions 2.9.16, 3.2.7, 4.0.5, 4.1.5, 4.2.3 et 4.3.9, Vite Server Options (`server.fs.deny`) peut être contourné à l'aide de Double Forward-Slash (/ //) permet à tout utilisateur non authentifié de lire le fichier à partir du chemin racine VITE de l'application, y compris les paramètres par défaut `fs.deny` (` [\\ '. env \', \\ '. env. * \'\\ '*. {crt, pem} \'] `).Seuls les utilisateurs exposant explicitement le serveur Vite Dev au réseau (à l'aide de l'option de configuration `` - host` ou `server.host`) sont affectés, et seuls les fichiers dans le dossier racine immédiate du projet VITE peuvent être exposés.Ce numéro est résolu à Vite@4.3.9, vite@4.2.3, vite@4.1.5, vite@4.0.5, vite@3.2.7, et vite@2.9.16.
Vite provides frontend tooling. Prior to versions 2.9.16, 3.2.7, 4.0.5, 4.1.5, 4.2.3, and 4.3.9, Vite Server Options (`server.fs.deny`) can be bypassed using double forward-slash (//) allows any unauthenticated user to read file from the Vite root-path of the application including the default `fs.deny` settings (`[\'.env\', \'.env.*\', \'*.{crt,pem}\']`). Only users explicitly exposing the Vite dev server to the network (using `--host` or `server.host` config option) are affected, and only files in the immediate Vite project root folder could be exposed. This issue is fixed in vite@4.3.9, vite@4.2.3, vite@4.1.5, vite@4.0.5, vite@3.2.7, and vite@2.9.16. |
| Envoyé | Oui |
| Condensat | 2023 34092 `fs `server affected allows any application are bypassed can config could crt cve default deny` dev double env explicitly exposed exposing file files fixed folder forward from frontend host` immediate including issue network only option options path pem prior project provides read root server settings slash tooling unauthenticated user users using versions vite vite@2 vite@3 vite@4 |
| Tags | |
| Stories | |
| Notes | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.