文章总结： Vite开发服务器WebSocket的fetchModule方法存在访问控制缺失漏洞（CVE-2026-39363），攻击者可远程读取服务器任意文件。影响版本为Vite0.1.15至8.0.4。建议立即升级至Vite8.0.7/7.3.2/6.4.2/0.1.16，或通过配置server.fs限制目录访问，并禁止开发服务器暴露公网。 综合评分： 85 文章分类： 漏洞预警,WEB安全,应用安全,解决方案,安全工具

【高危漏洞预警】Vite WebSocket任意文件读取漏洞(CVE-2026-39363)

jufeng jufeng

飓风网络安全

2026年4月8日 22:29 北京

漏洞描述：

Vitе开发服务器WеbSосkеt中的fеtсhMоdulе方法未实施ѕеrvеr.fѕ访问控制导致攻击者可通过WеbSосkеt连接并读取服务器上的任意文件

攻击场景:

攻击者可通过构造特定的恶意请求利用Vite开发服务器中WebSocket连接对fetchModule方法的访问控制缺失,直接读取服务器文件系统上的任意文件内容。攻击无需身份验证,且可在局域网或公网环境下通过网络向量发起

影响产品:

1、 8.0.0<=Vite<=8.0.4

2、 7.0.0<=Vite<=7.3.1

3、 6.0.0<=Vite<=6.4.1

4、 Vite<=0.1.15

利用条件:

server.ws: true（默认启用）

修复建议:

补丁名称:

Vitе WеbSосkеt任意文件读取漏洞的补丁-更新至最新版本v8.0.7

文件链接:

https://github.com/vitejs/vite/releases/tag/v8.0.7

官方已发布安全补丁,请及时更新至最新版本

Vitе>=8.0.5

Vitе>=7.3.2

Vitе>=6.4.2

Vitе>=0.1.16

建议措施：

配置加固：对于必须保留旧版本无法升级的场景,务必在vite.config.ts/js中显式配置server.fs选项,严格限制允许读取的文件目录,禁止读取根目录以外的文件

网络隔离：严禁将 Vite 开发服务器（Dev Server）直接暴露在互联网上,确保开发环境仅在内网可信区域或通过SSH隧道访问

输入验证：虽然官方补丁已修复底层逻辑，但在中间件层加强针对 WebSocket 连接的输入过滤也可作为纵深防御手段

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：飓风网络安全 jufeng jufeng《【高危漏洞预警】Vite WebSocket任意文件读取漏洞(CVE-2026-39363)》