【已复现】npm周下载量6523万+的Vitest存在高危漏洞(CVE-2026-47429)可任意读取文件

受影响的软件版本：

vitest 版本 < 4.1.0

正式防护方案

受影响用户请立即升级至以下安全版本：

4.1.0 及更高版本

近日，Vitest 曝出未授权任意文件读取漏洞（CVE-2026-47429，CVSS 9.8）。该漏洞存在于 @vitest/ui 插件的 /_vitest_attachment__文件读取接口中。 Vitest UI 服务启动后会将 API Token 以明文形式写入 HTML 页面，任何可访问该页面的用户均可获取该Token。攻击者利用获取的 Token调用文件读取接口，配合 ?\..\ 路径穿越 payload，可绕过isFileServingAllowed 安全检查函数，实现对项目目录外任意文件的读取。漏洞根因在于 /_vitest_attachment__的 API handler 对 isFileServingAllowed 函数的使用方式不正确。该函数期望调用方在完成安全检查后、执行文件系统操作前，对路径执行 cleanUrl 清理。然而攻击者可通过注入 ?\..\ 绕过检查。该漏洞仅在 Windows 平台上可利用，因为 Linux 在目录 ? 不存在时会直接报错，无法完成穿越。

该漏洞无需身份验证，利用难度低，可导致数据库凭证、密钥、配置文件等敏感信息泄露。

360漏洞研究院已成功复现 Vitest 未授权任意文件读取漏洞（CVE-2026-47429），通过访问 Vitest UI 页面获取 API Token，配合路径穿越 payload 调用文件读取接口，即可读取服务器上的文件。

CVE-2026-47429

Vitest 未授权任意文件读取漏洞复现

360安全智能体：支持该漏洞攻击的智能分析。

360测绘云 Quake：默认支持该产品的指纹识别。

360高级持续性威胁预警系统：预计 2026年6月8日发布规则更新包，支持该漏洞利用行为的检测。

360资产与漏洞检测管理系统：预计 2026年6月8日发布规则更新包，支持该漏洞利用行为的检测。本地安全大脑：默认支持该漏洞的PoC检测。

2026年6月6日，360漏洞研究院发布本安全风险通告。

https://github.com/vitest-dev/vitest/security/advisories/GHSA-5xrq-8626-4rwp

https://www.cve.org/CVERecord?id=CVE-2026-474297

建议您订阅360数字安全-漏洞情报服务，获取更多漏洞情报详情以及处置建议，让您的企业远离漏洞威胁。

邮箱：360VRI@360.cn

网址：https://vi.loudongyun.360.net