关键漏洞信息 漏洞概述 标题: settings was not applied to HTML files 严重性: 低 (2.3/10) CVE ID: CVE-2025-58752 CVSS v4 基本指标: - 攻击向量: 网络 - 攻击复杂度: 低 - 攻击需求: 存在 - 特权要求: 无 - 用户交互: 被动 - 机密性影响: 低 - 完整性影响: 无 - 可用性影响: 无 影响范围 受影响版本: - >=7.1.0, =7.0.0, =6.0.0, <=6.3.5 - <=5.4.19 修复版本: - 7.1.5 - 7.0.7 - 6.3.6 - 5.4.20 描述 总结: 任何HTML文件都会被服务器提供,无论 设置如何。 影响: - 显式地将Vite开发服务器暴露在网络中(使用 或 配置选项) - 使用 (默认)或 - 预览服务器允许提供不在输出目录下的HTML文件。 细节 函数负责从服务器提供静态文件。它返回的 函数检查请求文件是否为 扩展名。如果不是,则不提供页面,而是转到下一个中间件,即 和 。这些中间件不对允许或拒绝规则进行测试,也不确保访问的文件在服务器的根目录中,只是找到文件并将其内容发送给客户端。 PoC 创建一个Vite项目并运行开发服务器。 在另一个shell中,通过路径遍历访问 文件,可以成功获取其内容。 对于位于项目根目录但不在允许列表中的HTML文件,也可以通过类似方式访问。 ``` 这个Markdown总结了截图中关于漏洞的关键信息,包括漏洞概述、影响范围、描述和PoC等。