В и утащить всю кодовую базу.
#vite #bug
Vite
нашли и пофиксили уязвимость - чужой сайт мог обратиться на ваш dev
сервер Attack scenario:Обновление вышло сразу для трех последних мажорных версий как
- The attacker serves a malicious web page (http://malicious.example.com).
- The user accesses the malicious web page.
- The attacker sends a fetch('http://127.0.0.1:5173/main.js') request by JS in that malicious web page. This request is normally blocked by same-origin policy, but that's not the case for the reasons above.
- The attacker gets the content of http://127.0.0.1:5173/main.js.
patch
, но для некоторых может оказаться breaking change
. Подробней - в релизе.#vite #bug
👍3