漏洞概述 漏洞名称: bypass on Windows alternate paths CVE ID: CVE-2026-89971 严重程度: 高 (8.2/10) 描述: 在Windows系统上,Vite的 功能未能正确阻止对敏感文件的访问,攻击者可以通过使用NTFS短路径绕过此限制,从而获取敏感文件内容。 影响范围 受影响版本: - : >=8.0.0, =7.0.0, <=7.3.4 和 <=6.4.2 - : <=0.1.23 影响条件: - 应用显式暴露Vite开发服务器到网络(使用 或 配置选项) - 敏感文件存在于 指定的允许目录中 - 敏感文件存在于NTFS卷上,且该卷启用了8.3短名称生成(默认启用) 修复方案 已修复版本: - : 8.0.16 - : 7.3.5 和 6.4.3 - : 0.1.24 POC代码 通过浏览器访问 可以获取 文件的内容。 示例预期结果 返回 文件的内容 返回 文件的内容