关于Vite WebSocket任意文件读取漏洞（CVE-2026-39363）的预警提示

发布时间:2026-04-30

作者:

浏览次数:10

一、漏洞详情

Vite是一款现代化的前端开发构建工具，广泛应用于Vue.js项目的开发过程中。

近日，监测到官方修复Vite WebSocket任意文件读取漏洞（CVE-2026-39363），Vite开发服务器WebSocket中的fetchModule方法未实施server.fs访问控制，导致攻击者可通过WebSocket连接并读取服务器上的任意文件。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

8.0.0<=Vite<=8.0.4

7.0.0<=Vite<=7.3.1

6.0.0<=Vite<=6.4.1

Vite<=0.1.15

三、修复建议

目前官方已有可更新版本，建议受影响用户升级至最新版本：

Vite>=8.0.5

Vite>=7.3.2

Vite>=6.4.2

Vite>=0.1.16