关于Vite WebSocket 任意文件读取漏洞（CVE-2026-39363）的预警通报

今日，工作发现最新漏洞：Vite WebSocket 任意文件读取漏洞CVE-2026-39363

Vite WebSocket 存在任意文件读取漏洞，攻击者可通过该 WebSocket 通道发送vite:invoke指令调用fetchModule方法，构造file://协议的任意文件路径并携带raw参数，成功绕过 HTTP 接口的访问限制，实现未授权读取服务器上任意文件的目的。

目前受影响的Vite版本：

8.0.0 ≤ Vite ≤ 8.0.4

7.0.0 ≤ Vite ≤ 7.3.1

6.0.0 ≤ Vite ≤ 6.4.1

Vite ≤ 0.1.15

官方已发布最新版本修复该漏洞，建议受影响用户更新到最新版本。

下载链接：

https://github.com/vitejs/vite/releases

请各单位增强网络安全防护意识，立即排查产品使用情况，并督促指导受影响单位及时升级漏洞补丁，消除风险隐患。同时，加强网络安全监测,如发现遭攻击情况及时处置并报告