Vitejs

Die Schwachstelle betrifft Vitejs, ein Werkzeug zum Entwickeln von JavaScript-Frontends. Der Fehler steckt im Entwicklungsserver, den Vite während der Programmierung lokal bereitstellt. Über speziell präparierte Anfrageparameter – nämlich die Anhänge ?inline&import beziehungsweise ?raw?import an einer Adresse – lässt sich die eingebaute Zugriffskontrolle umgehen. Dadurch gibt der Server den Inhalt von Dateien preis, die eigentlich gar nicht ausgeliefert werden dürften und außerhalb des freigegebenen Bereichs liegen. Ein Angreifer kann auf diese Weise an Dateien gelangen, die ihm normalerweise verwehrt blieben, und so möglicherweise vertrauliche Informationen aus dem Projekt auslesen. Betroffen sind allerdings nur Anwendungen, die den Entwicklungsserver bewusst im Netzwerk verfügbar machen – etwa durch den Start mit der Option –host oder durch die entsprechende Einstellung server.host in der Konfiguration. Bleibt der Server rein lokal erreichbar, besteht die Gefahr nicht.