ViteはJavaScriptのフロントエンドツールフレームワークです。8.0.16、7.3.5、および6.4.3より前のバージョンでは、Windows環境においてserver.fs.denyで指定されたファイルの内容がブラウザに返される可能性がありました。Viteの開発サーバーは、.env、.env.*、*.{crt,pem}などのエントリを含むserver.fs.denyを通じて機密ファイルへの直接アクセスを拒否します。しかしWindowsでは、アクセスチェックを適用する前にNTFSのADSパス形式を正しく正規化しないため、/.env::$DATA?rawのようなリクエストが許可されたパスとして扱われ、Windowsはこれを元のファイルのデフォルトデータストリームに解決します。同様に、Windowsの8.3短縮名互換機能により、異なる名前を使ってファイルにアクセスすることが可能でした。Viteはこれらの方法によるファイルアクセスを拒否していませんでした。この脆弱性は8.0.16、7.3.5、および6.4.3で修正されています。

ベンダ情報を参照して適切な対策を実施してください。