Vite 信息泄露漏洞

Vite开发服务器在处理URL请求时未对路径进行严格校验，未经身份验证的攻击者可以通过构造特殊的URL绕过路径访问限制，从而读取目标服务器上的任意文件。
影响版本：

=6.2.0, <=6.2.5
=6.1.0, <=6.1.4
=6.0.0, <=6.0.14
=5.0.0, <=5.4.17
<=4.5.12
修复版本：
=6.2.6
=6.1.5, <6.2.0
=6.0.15, <6.1.0
=5.4.18, <6.0.0
=4.5.13, <5.0.0

文件读取漏洞可能导致敏感信息泄露，包括但不限于系统配置、用户数据、源代码等，从而使攻击者能够进一步了解系统架构、用户信息，甚至可能导致其他安全问题的连锁反应，如SQL注入、XSS等。

一、临时缓解方案

如果暂时无法升级，可以采取以下措施降低风险：

限制网络访问：避免使用 --host 或设置 server.host 为 localhost，确保开发服务器仅限本地访问。

严格文件权限：确保敏感文件不可被 Vite 进程读取（例如通过操作系统权限控制）。

二、升级修复方案

Vite 官方已发布安全补丁，修复版本包括：

6.2.6、6.1.5、6.0.15、5.4.18、4.5.13

请尽快通过 npm update vite 或手动升级到以上版本以修复漏洞。