vite文件读取

Vite是Vite开源的一种新型的前端构建工具。 Vite存在安全漏洞，该漏洞源于存在暴露非允许文件内容问题。

任意文件读取：攻击者可读取服务器上的敏感文件（如配置文件、密钥文件等），可能导致凭据泄露或其他安全风险。

一、临时缓解方案
如果暂时无法升级，可以采取以下措施降低风险：

1. 限制网络访问：使用 --host 或设置 server.host 为 localhost，确保开发服务器仅限本地访问。
2. 严格文件权限：确保敏感文件不可被 Vite 进程读取（例如通过操作系统权限控制）。
   二、升级修复方案
   Vite 官方已发布安全补丁，修复版本包括：
   6.2.4、6.1.3、6.0.13、5.4.16、4.5.11
   请尽快通过 npm update vite 或手动升级到以上版本以修复漏洞