当托管在不区分大小写的文件系统上时,可以绕过 Vite 开发服务器选项 `server.fs.deny` (CVE-2024-23331)
CVE编号
CVE-2024-23331利用情况
暂无补丁情况
N/A披露时间
2024-01-20漏洞描述
Vite 是一个用于 JavaScript 的前端工具框架。Vite 开发服务器选项 `server.fs.deny` 在不区分大小写的文件系统上,可以通过使用文件名的大小写变化版本来绕过。尤其是影响在 Windows 主机上托管的服务器。这个绕过与 CVE-2023-34092 类似,只是作用范围缩小到具有不区分大小写文件系统的主机。由于 `picomatch` 默认支持区分大小写的 glob 匹配,但文件服务器不区分大小写;可以绕过黑名单。通过使用大小写变化的原始文件系统路径请求,从 `config.server.fs.deny` 派生的匹配器无法阻止访问敏感文件。此问题已在 [email protected]、[email protected]、[email protected] 和 [email protected] 中得到修复。建议用户升级。无法升级的用户应限制对开发服务器的访问。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 高
- 完整性 无
| CWE-ID | 漏洞类型 |
| CWE-178 | 大小写敏感处理不恰当 |
| CWE-200 | 信息暴露 |
| CWE-284 | 访问控制不恰当 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论