az9713/cve-lite-on-pi
GitHub: az9713/cve-lite-on-pi
记录了使用 OWASP CVE Lite CLI 对 pi monorepo 进行本地漏洞扫描的过程与关键发现,揭露了 vitest 的一个严重路径遍历漏洞。
Stars: 0 | Forks: 0
# cve-lite-on-pi
这是一篇关于针对 **`pi`** monorepo 运行 **CVE Lite CLI** 以及其发现结果的简短报告。
## 背景
本实验的起因是这篇文章:
**[“OWASP CVE Lite CLI —— 扫描项目漏洞的新工具”](https://cybersecuritynews.com/owasp-cve-lite-cli-tool/amp/)**
(CyberSecurityNews)。
## 什么是 CVE Lite CLI?
[**CVE Lite CLI**](https://github.com/OWASP/cve-lite-cli) 是一款对开发者友好且**本地**运行的命令行扫描工具,专为 JavaScript/TypeScript 项目设计。它无需安装或运行您的依赖,而是直接读取您的 **lockfile**(`package-lock.json`、`pnpm-lock.yaml`、`yarn.lock` 或 `bun.lockb`),收集所有已解析的包版本,并将这些版本与 **[OSV](https://osv.dev) (Open Source Vulnerabilities)** 数据库进行核对。随后,它会打印出按优先级排列的发现结果以及**可直接复制运行的修复命令**;当存在紧急问题时,它会以非零状态退出——这使得它能轻松集成到 CI 中。它支持 npm、pnpm、Yarn 和 Bun。
## 我们做了什么
我们对 **`pi`** monorepo 运行了 CVE Lite CLI,并在 [`pi-main-cve-lite-journey.md`](./pi-main-cve-lite-journey.md) 中记录了整个过程——包括设置、扫描 pipeline、发现结果以及建议的修复措施。
| 组件 | 仓库 | 版本 |
|---|---|---|
| 扫描器 | [`OWASP/cve-lite-cli`](https://github.com/OWASP/cve-lite-cli) | **1.19.2**(基于本地源码构建运行;扫描时上游最新版本为:1.20.0) |
| 目标 | [`earendil-works/pi`](https://github.com/earendil-works/pi) (`pi-monorepo`) | **0.0.3** |
**咨询来源:** OSV (`https://api.osv.dev`) · **解析的包数量:** 从 `package-lock.json` 中解析了 443 个
## 关键发现
| 字段 | 值 |
|---|---|
| 包名 | **vitest** (直接 dev dependency) |
| 安装版本 | **3.2.4** |
| 严重程度 | **严重 — CVSS 9.8** (`AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H`) |
| 漏洞公告 | **[GHSA-5xrq-8626-4rwp](https://github.com/advisories/GHSA-5xrq-8626-4rwp)** / **CVE-2026-47429** |
| 问题说明 | 当 Vitest UI server 正在监听时,路径遍历绕过 (`\\?\\..\\`) 会允许**任意文件读取/执行** —— 专门针对 Windows,或者当 UI/API server 暴露于网络时 |
| 修复版本 | **3.2.6** |
| 声明位置 | `packages/agent`, `packages/ai`, `packages/coding-agent` |
**建议的修复方案**(未应用 —— 这是一项仅出具报告的研究):
```
npm install -w packages/agent -w packages/ai -w packages/coding-agent vitest@3.2.6
```
有关扫描 pipeline 内部原理、验证细节、基于风险的缓解措施以及范围/限制,请查看完整报告:**[`pi-main-cve-lite-journey.md`](./pi-main-cve-lite-journey.md)**。
## 目录
- [`README.md`](./README.md) — 本概述
- [`pi-main-cve-lite-journey.md`](./pi-main-cve-lite-journey.md) — 详细的扫描过程与发现报告
*本仓库记录的是一次出于教育目的的一次性安全扫描。未对上游 `pi` 项目应用任何修复措施。*
标签:CMS安全, GPT, JavaScript, MITM代理, 数据可视化, 漏洞管理