实现分层实体漏洞知识库与实体级完整度监控

2026-03-19 17:57:45 -07:00
--- a/07-framework-security/frameworks/vite/cases/vite-cve-2022-35204.md
+++ b/07-framework-security/frameworks/vite/cases/vite-cve-2022-35204.md
@@ -28,6 +28,9 @@ affected_versions:
 fixed_versions:
  - "2.9.13"
  - "3.0.0-beta.4"
+entity_refs:
+  - "vite:system:root-system"
+  - "vite--project--vite:project:affected-component"
 secure_code_topics:
  - "dependency-upgrade-policy"
  - "file-upload-validation"
@@ -57,6 +60,26 @@ primary_source: "https://nvd.nist.gov/vuln/detail/CVE-2022-35204"
 - 影响版本: `introduced=0, fixed<2.9.13, introduced=3.0.0-alpha.0, fixed<3.0.0-beta.4`
 - 修复版本: `2.9.13, 3.0.0-beta.4`

+## 对象与版本映射
+
+- Advisory Scope: `package`
+- 影响对象: `vite`
+- Entity Refs: `vite, vite--project--vite`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://nvd.nist.gov/vuln/detail/CVE-2022-35204, https://github.com/vitejs/vite/issues/8498, https://github.com/vitejs/vite/commit/6851009e6725b17608113a5a63474280075cae1c, https://github.com/vitejs/vite/commit/e109d64331d9fa57753832762c3573c3532a6947, https://github.com/vitejs/vite`
+
+## 受控验证流程
+
+- Workflow ID: `vite--CVE-2022-35204--workflow`
+- 漏洞家族: `proxy-boundary`
+- 入口面: `proxy-header-or-trust-boundary`
+- 需要角色: `reverse-proxy-or-edge-client`
+- 触发向量: 对 `proxy-boundary` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/middleware, /x-forwarded-* trust path`
+- 输入形态: 提交受控代理头或来源头，验证信任边界和回源鉴权。
+- 预期不安全行为: 仅凭代理头即可越过鉴权或来源控制。
+
 ## 其他来源

 - https://github.com/vitejs/vite/issues/8498
@@ -66,6 +89,42 @@ primary_source: "https://nvd.nist.gov/vuln/detail/CVE-2022-35204"
 - https://github.com/vitejs/vite/releases/tag/v2.9.13
 - https://github.com/vitejs/vite/releases/tag/v3.0.0-beta.4

+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+- 上游代理与应用层对 Content-Length / Transfer-Encoding / forwarded headers 的解释差异
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=0, fixed<2.9.13, introduced=3.0.0-alpha.0, fixed<3.0.0-beta.4` 升级或回移到 `2.9.13`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `proxy-boundary` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层

 - 仅用于自有资产、测试环境或已明确授权目标。
--- a/07-framework-security/frameworks/vite/cases/vite-cve-2023-34092.md
+++ b/07-framework-security/frameworks/vite/cases/vite-cve-2023-34092.md
@@ -36,6 +36,9 @@ fixed_versions:
  - "4.1.5"
  - "4.2.3"
  - "4.3.9"
+entity_refs:
+  - "vite:system:root-system"
+  - "vite--project--vite:project:affected-component"
 secure_code_topics:
  - "dependency-upgrade-policy"
  - "file-upload-validation"
@@ -64,6 +67,26 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-353f-5x
 - 影响版本: `introduced=0, fixed<2.9.16, introduced=3.0.2, fixed<3.2.7, introduced=4.0.0, fixed<4.0.5, introduced=4.1.0, fixed<4.1.5, introduced=4.2.0, fixed<4.2.3, introduced=4.3.0, fixed<4.3.9`
 - 修复版本: `2.9.16, 3.2.7, 4.0.5, 4.1.5, 4.2.3, 4.3.9`

+## 对象与版本映射
+
+- Advisory Scope: `package`
+- 影响对象: `vite`
+- Entity Refs: `vite, vite--project--vite`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/vitejs/vite/security/advisories/GHSA-353f-5xf4-qw67, https://nvd.nist.gov/vuln/detail/CVE-2023-34092, https://github.com/vitejs/vite/pull/13348, https://github.com/vitejs/vite/commit/813ddd6155c3d54801e264ba832d8347f6f66b32, https://github.com/vitejs/vite`
+
+## 受控验证流程
+
+- Workflow ID: `vite--CVE-2023-34092--workflow`
+- 漏洞家族: `proxy-boundary`
+- 入口面: `proxy-header-or-trust-boundary`
+- 需要角色: `reverse-proxy-or-edge-client`
+- 触发向量: 对 `proxy-boundary` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/middleware, /x-forwarded-* trust path`
+- 输入形态: 提交受控代理头或来源头，验证信任边界和回源鉴权。
+- 预期不安全行为: 仅凭代理头即可越过鉴权或来源控制。
+
 ## 其他来源

 - https://nvd.nist.gov/vuln/detail/CVE-2023-34092
@@ -72,6 +95,42 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-353f-5x
 - https://github.com/vitejs/vite
 - https://security.snyk.io/package/npm/vite/3.2.0-beta.4

+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+- 上游代理与应用层对 Content-Length / Transfer-Encoding / forwarded headers 的解释差异
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=0, fixed<2.9.16, introduced=3.0.2, fixed<3.2.7, introduced=4.0.0, fixed<4.0.5` 升级或回移到 `2.9.16`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `proxy-boundary` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层

 - 仅用于自有资产、测试环境或已明确授权目标。
--- a/07-framework-security/frameworks/vite/cases/vite-cve-2023-49293.md
+++ b/07-framework-security/frameworks/vite/cases/vite-cve-2023-49293.md
@@ -31,6 +31,9 @@ fixed_versions:
  - "4.4.12"
  - "4.5.1"
  - "5.0.5"
+entity_refs:
+  - "vite:system:root-system"
+  - "vite--plugin--vite:plugin:affected-component"
 secure_code_topics:
  - "dependency-upgrade-policy"
  - "file-upload-validation"
@@ -61,11 +64,68 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-92r3-m2
 - 影响版本: `4.5.0, introduced=4.4.0, fixed<4.4.12, introduced=4.5.0, fixed<4.5.1, introduced=5.0.0, fixed<5.0.5`
 - 修复版本: `4.4.12, 4.5.1, 5.0.5`

+## 对象与版本映射
+
+- Advisory Scope: `plugin`
+- 影响对象: `vite`
+- Entity Refs: `vite, vite--plugin--vite`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/vitejs/vite/security/advisories/GHSA-92r3-m2mg-pj97, https://nvd.nist.gov/vuln/detail/CVE-2023-49293, https://github.com/vitejs/vite`
+
+## 受控验证流程
+
+- Workflow ID: `vite--CVE-2023-49293--workflow`
+- 漏洞家族: `xss`
+- 入口面: `web-ui-render-path`
+- 需要角色: `editor-or-admin`
+- 触发向量: 对 `xss` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/admin/editor, /preview, /rendered-content`
+- 输入形态: 受控 HTML/Markdown/富文本输入，观察渲染上下文是否失去编码或净化。
+- 预期不安全行为: 输入在目标上下文执行或被浏览器解释为主动内容。
+
 ## 其他来源

 - https://nvd.nist.gov/vuln/detail/CVE-2023-49293
 - https://github.com/vitejs/vite

+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+- 插件/扩展管理日志、安装日志与版本清单
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+- 插件目录、主题目录或扩展配置表中的测试样本
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+
+### 补丁验证步骤
+
+- 确认目标版本从 `4.5.0, introduced=4.4.0, fixed<4.4.12, introduced=4.5.0, fixed<4.5.1` 升级或回移到 `4.4.12`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `xss` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层

 - 仅用于自有资产、测试环境或已明确授权目标。
--- a/07-framework-security/frameworks/vite/cases/vite-cve-2024-23331.md
+++ b/07-framework-security/frameworks/vite/cases/vite-cve-2024-23331.md
@@ -32,6 +32,9 @@ fixed_versions:
  - "3.2.8"
  - "4.5.2"
  - "5.0.12"
+entity_refs:
+  - "vite:system:root-system"
+  - "vite--project--vite:project:affected-component"
 secure_code_topics:
  - "dependency-upgrade-policy"
  - "file-upload-validation"
@@ -60,6 +63,26 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-c24v-8r
 - 影响版本: `introduced=2.7.0, fixed<2.9.17, introduced=3.0.0, fixed<3.2.8, introduced=4.0.0, fixed<4.5.2, introduced=5.0.0, fixed<5.0.12`
 - 修复版本: `2.9.17, 3.2.8, 4.5.2, 5.0.12`

+## 对象与版本映射
+
+- Advisory Scope: `package`
+- 影响对象: `vite`
+- Entity Refs: `vite, vite--project--vite`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/vitejs/vite/security/advisories/GHSA-c24v-8rfc-w8vw, https://nvd.nist.gov/vuln/detail/CVE-2023-34092, https://nvd.nist.gov/vuln/detail/CVE-2024-23331, https://github.com/vitejs/vite/commit/0cd769c279724cf27934b1270fbdd45d68217691, https://github.com/vitejs/vite/commit/91641c4da0a011d4c5352e88fc68389d4e1289a5`
+
+## 受控验证流程
+
+- Workflow ID: `vite--CVE-2024-23331--workflow`
+- 漏洞家族: `proxy-boundary`
+- 入口面: `proxy-header-or-trust-boundary`
+- 需要角色: `reverse-proxy-or-edge-client`
+- 触发向量: 对 `proxy-boundary` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/middleware, /x-forwarded-* trust path`
+- 输入形态: 提交受控代理头或来源头，验证信任边界和回源鉴权。
+- 预期不安全行为: 仅凭代理头即可越过鉴权或来源控制。
+
 ## 其他来源

 - https://nvd.nist.gov/vuln/detail/CVE-2023-34092
@@ -71,6 +94,42 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-c24v-8r
 - https://github.com/vitejs/vite
 - https://vitejs.dev/config/server-options.html#server-fs-deny

+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+- 上游代理与应用层对 Content-Length / Transfer-Encoding / forwarded headers 的解释差异
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=2.7.0, fixed<2.9.17, introduced=3.0.0, fixed<3.2.8, introduced=4.0.0, fixed<4.5.2` 升级或回移到 `2.9.17`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `proxy-boundary` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层

 - 仅用于自有资产、测试环境或已明确授权目标。
--- a/07-framework-security/frameworks/vite/cases/vite-cve-2024-31207.md
+++ b/07-framework-security/frameworks/vite/cases/vite-cve-2024-31207.md
@@ -36,6 +36,9 @@ fixed_versions:
  - "5.0.13"
  - "5.1.7"
  - "5.2.6"
+entity_refs:
+  - "vite:system:root-system"
+  - "vite--project--vite:project:affected-component"
 secure_code_topics:
  - "dependency-upgrade-policy"
  - "file-upload-validation"
@@ -64,6 +67,26 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-8jhw-28
 - 影响版本: `introduced=2.7.0, fixed<2.9.18, introduced=3.0.0, fixed<3.2.10, introduced=4.0.0, fixed<4.5.3, introduced=5.0.0, fixed<5.0.13, introduced=5.1.0, fixed<5.1.7, introduced=5.2.0, fixed<5.2.6`
 - 修复版本: `2.9.18, 3.2.10, 4.5.3, 5.0.13, 5.1.7, 5.2.6`

+## 对象与版本映射
+
+- Advisory Scope: `package`
+- 影响对象: `vite`
+- Entity Refs: `vite, vite--project--vite`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/vitejs/vite/security/advisories/GHSA-8jhw-289h-jh2g, https://nvd.nist.gov/vuln/detail/CVE-2024-31207, https://github.com/vitejs/vite/commit/011bbca350e447d1b499d242804ce62738c12bc0, https://github.com/vitejs/vite/commit/5a056dd2fc80dbafed033062fe6aaf4717309f48, https://github.com/vitejs/vite/commit/89c7c645f09d16a38f146ef4a1528f218e844d67`
+
+## 受控验证流程
+
+- Workflow ID: `vite--CVE-2024-31207--workflow`
+- 漏洞家族: `proxy-boundary`
+- 入口面: `proxy-header-or-trust-boundary`
+- 需要角色: `reverse-proxy-or-edge-client`
+- 触发向量: 对 `proxy-boundary` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/middleware, /x-forwarded-* trust path`
+- 输入形态: 提交受控代理头或来源头，验证信任边界和回源鉴权。
+- 预期不安全行为: 仅凭代理头即可越过鉴权或来源控制。
+
 ## 其他来源

 - https://nvd.nist.gov/vuln/detail/CVE-2024-31207
@@ -75,6 +98,42 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-8jhw-28
 - https://github.com/vitejs/vite/commit/d2db33f7d4b96750b35370c70dd2c35ec3b9b649
 - https://github.com/vitejs/vite

+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+- 上游代理与应用层对 Content-Length / Transfer-Encoding / forwarded headers 的解释差异
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=2.7.0, fixed<2.9.18, introduced=3.0.0, fixed<3.2.10, introduced=4.0.0, fixed<4.5.3` 升级或回移到 `2.9.18`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `proxy-boundary` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层

 - 仅用于自有资产、测试环境或已明确授权目标。
--- a/07-framework-security/frameworks/vite/cases/vite-cve-2024-45811.md
+++ b/07-framework-security/frameworks/vite/cases/vite-cve-2024-45811.md
@@ -36,6 +36,9 @@ fixed_versions:
  - "4.5.4"
  - "3.2.11"
  - "5.1.8"
+entity_refs:
+  - "vite:system:root-system"
+  - "vite--project--vite:project:affected-component"
 secure_code_topics:
  - "dependency-upgrade-policy"
  - "file-upload-validation"
@@ -64,6 +67,26 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-9cwx-28
 - 影响版本: `introduced=5.4.0, fixed<5.4.6, introduced=5.3.0, fixed<5.3.6, introduced=5.2.0, fixed<5.2.14, introduced=4.0.0, fixed<4.5.4, introduced=0, fixed<3.2.11, introduced=5.0.0, fixed<5.1.8`
 - 修复版本: `5.4.6, 5.3.6, 5.2.14, 4.5.4, 3.2.11, 5.1.8`

+## 对象与版本映射
+
+- Advisory Scope: `package`
+- 影响对象: `vite`
+- Entity Refs: `vite, vite--project--vite`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/vitejs/vite/security/advisories/GHSA-9cwx-2883-4wfx, https://nvd.nist.gov/vuln/detail/CVE-2024-45811, https://github.com/vitejs/vite/commit/4573a6fd6f1b097fb7296a3e135e0646b996b249, https://github.com/vitejs/vite/commit/6820bb3b9a54334f3268fc5ee1e967d2e1c0db34, https://github.com/vitejs/vite/commit/8339d7408668686bae56eaccbfdc7b87612904bd`
+
+## 受控验证流程
+
+- Workflow ID: `vite--CVE-2024-45811--workflow`
+- 漏洞家族: `proxy-boundary`
+- 入口面: `proxy-header-or-trust-boundary`
+- 需要角色: `reverse-proxy-or-edge-client`
+- 触发向量: 对 `proxy-boundary` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/middleware, /x-forwarded-* trust path`
+- 输入形态: 提交受控代理头或来源头，验证信任边界和回源鉴权。
+- 预期不安全行为: 仅凭代理头即可越过鉴权或来源控制。
+
 ## 其他来源

 - https://nvd.nist.gov/vuln/detail/CVE-2024-45811
@@ -74,6 +97,42 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-9cwx-28
 - https://github.com/vitejs/vite/commit/b901438f99e667f76662840826eec91c8ab3b3e7
 - https://github.com/vitejs/vite

+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+- 上游代理与应用层对 Content-Length / Transfer-Encoding / forwarded headers 的解释差异
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=5.4.0, fixed<5.4.6, introduced=5.3.0, fixed<5.3.6, introduced=5.2.0, fixed<5.2.14` 升级或回移到 `5.4.6`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `proxy-boundary` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层

 - 仅用于自有资产、测试环境或已明确授权目标。
--- a/07-framework-security/frameworks/vite/cases/vite-cve-2024-45812.md
+++ b/07-framework-security/frameworks/vite/cases/vite-cve-2024-45812.md
@@ -36,6 +36,9 @@ fixed_versions:
  - "4.5.4"
  - "3.2.11"
  - "5.1.8"
+entity_refs:
+  - "vite:system:root-system"
+  - "vite--module--vite:module:affected-component"
 secure_code_topics:
  - "dependency-upgrade-policy"
  - "file-upload-validation"
@@ -66,6 +69,26 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-64vr-g4
 - 影响版本: `introduced=5.4.0, fixed<5.4.6, introduced=5.3.0, fixed<5.3.6, introduced=5.2.0, fixed<5.2.14, introduced=4.0.0, fixed<4.5.4, introduced=0, fixed<3.2.11, introduced=5.0.0, fixed<5.1.8`
 - 修复版本: `5.4.6, 5.3.6, 5.2.14, 4.5.4, 3.2.11, 5.1.8`

+## 对象与版本映射
+
+- Advisory Scope: `module`
+- 影响对象: `vite`
+- Entity Refs: `vite, vite--module--vite`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/vitejs/vite/security/advisories/GHSA-64vr-g452-qvp3, https://github.com/webpack/webpack/security/advisories/GHSA-4vvj-4cpr-p986, https://nvd.nist.gov/vuln/detail/CVE-2024-45812, https://github.com/vitejs/vite/commit/179b17773cf35c73ddb041f9e6c703fd9f3126af, https://github.com/vitejs/vite/commit/2691bb3ff6b073b41fb9046909e1e03a74e36675`
+
+## 受控验证流程
+
+- Workflow ID: `vite--CVE-2024-45812--workflow`
+- 漏洞家族: `xss`
+- 入口面: `web-ui-render-path`
+- 需要角色: `editor-or-admin`
+- 触发向量: 对 `xss` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/admin/editor, /preview, /rendered-content`
+- 输入形态: 受控 HTML/Markdown/富文本输入，观察渲染上下文是否失去编码或净化。
+- 预期不安全行为: 输入在目标上下文执行或被浏览器解释为主动内容。
+
 ## 其他来源

 - https://github.com/webpack/webpack/security/advisories/GHSA-4vvj-4cpr-p986
@@ -80,6 +103,43 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-64vr-g4
 - https://research.securitum.com/xss-in-amp4email-dom-clobbering
 - https://scnps.co/papers/sp23_domclob.pdf

+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+- 插件/扩展管理日志、安装日志与版本清单
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+- 插件目录、主题目录或扩展配置表中的测试样本
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=5.4.0, fixed<5.4.6, introduced=5.3.0, fixed<5.3.6, introduced=5.2.0, fixed<5.2.14` 升级或回移到 `5.4.6`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `xss` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层

 - 仅用于自有资产、测试环境或已明确授权目标。
--- a/07-framework-security/frameworks/vite/cases/vite-cve-2025-24010.md
+++ b/07-framework-security/frameworks/vite/cases/vite-cve-2025-24010.md
@@ -30,6 +30,9 @@ fixed_versions:
  - "6.0.9"
  - "5.4.12"
  - "4.5.6"
+entity_refs:
+  - "vite:system:root-system"
+  - "vite--plugin--vite:plugin:affected-component"
 secure_code_topics:
  - "dependency-upgrade-policy"
  - "file-upload-validation"
@@ -61,11 +64,68 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-vg6x-rc
 - 影响版本: `introduced=6.0.0, fixed<6.0.9, introduced=5.0.0, fixed<5.4.12, introduced=0, fixed<4.5.6`
 - 修复版本: `6.0.9, 5.4.12, 4.5.6`

+## 对象与版本映射
+
+- Advisory Scope: `plugin`
+- 影响对象: `vite`
+- Entity Refs: `vite, vite--plugin--vite`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/vitejs/vite/security/advisories/GHSA-vg6x-rcgg-rjx6, https://nvd.nist.gov/vuln/detail/CVE-2025-24010, https://github.com/vitejs/vite`
+
+## 受控验证流程
+
+- Workflow ID: `vite--CVE-2025-24010--workflow`
+- 漏洞家族: `file-upload`
+- 入口面: `upload-or-import-surface`
+- 需要角色: `authenticated-uploader`
+- 触发向量: 对 `file-upload` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/upload, /import, /plugin/install`
+- 输入形态: 提交受控非执行样本，验证扩展名、MIME、落盘与执行权限。
+- 预期不安全行为: 上传样本被错误接受、可访问或位于可执行路径。
+
 ## 其他来源

 - https://nvd.nist.gov/vuln/detail/CVE-2025-24010
 - https://github.com/vitejs/vite

+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+- 插件/扩展管理日志、安装日志与版本清单
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+- 插件目录、主题目录或扩展配置表中的测试样本
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=6.0.0, fixed<6.0.9, introduced=5.0.0, fixed<5.4.12, introduced=0, fixed<4.5.6` 升级或回移到 `6.0.9`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `file-upload` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层

 - 仅用于自有资产、测试环境或已明确授权目标。
--- a/07-framework-security/frameworks/vite/cases/vite-cve-2025-30208.md
+++ b/07-framework-security/frameworks/vite/cases/vite-cve-2025-30208.md
@@ -34,6 +34,9 @@ fixed_versions:
  - "6.0.12"
  - "5.4.15"
  - "4.5.10"
+entity_refs:
+  - "vite:system:root-system"
+  - "vite--project--vite:project:affected-component"
 secure_code_topics:
  - "dependency-upgrade-policy"
  - "file-upload-validation"
@@ -62,6 +65,26 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-x574-m8
 - 影响版本: `introduced=6.2.0, fixed<6.2.3, introduced=6.1.0, fixed<6.1.2, introduced=6.0.0, fixed<6.0.12, introduced=5.0.0, fixed<5.4.15, introduced=0, fixed<4.5.10`
 - 修复版本: `6.2.3, 6.1.2, 6.0.12, 5.4.15, 4.5.10`

+## 对象与版本映射
+
+- Advisory Scope: `package`
+- 影响对象: `vite`
+- Entity Refs: `vite, vite--project--vite`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/vitejs/vite/security/advisories/GHSA-x574-m823-4x7w, https://nvd.nist.gov/vuln/detail/CVE-2025-30208, https://github.com/vitejs/vite/commit/315695e9d97cc6cfa7e6d9e0229fb50cdae3d9f4, https://github.com/vitejs/vite/commit/80381c38d6f068b12e6e928cd3c616bd1d64803c, https://github.com/vitejs/vite/commit/807d7f06d33ab49c48a2a3501da3eea1906c0d41`
+
+## 受控验证流程
+
+- Workflow ID: `vite--CVE-2025-30208--workflow`
+- 漏洞家族: `proxy-boundary`
+- 入口面: `proxy-header-or-trust-boundary`
+- 需要角色: `reverse-proxy-or-edge-client`
+- 触发向量: 对 `proxy-boundary` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/middleware, /x-forwarded-* trust path`
+- 输入形态: 提交受控代理头或来源头，验证信任边界和回源鉴权。
+- 预期不安全行为: 仅凭代理头即可越过鉴权或来源控制。
+
 ## 其他来源

 - https://nvd.nist.gov/vuln/detail/CVE-2025-30208
@@ -72,6 +95,42 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-x574-m8
 - https://github.com/vitejs/vite/commit/f234b5744d8b74c95535a7b82cc88ed2144263c1
 - https://github.com/vitejs/vite

+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+- 上游代理与应用层对 Content-Length / Transfer-Encoding / forwarded headers 的解释差异
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=6.2.0, fixed<6.2.3, introduced=6.1.0, fixed<6.1.2, introduced=6.0.0, fixed<6.0.12` 升级或回移到 `6.2.3`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `proxy-boundary` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层

 - 仅用于自有资产、测试环境或已明确授权目标。
--- a/07-framework-security/frameworks/vite/cases/vite-cve-2025-31125.md
+++ b/07-framework-security/frameworks/vite/cases/vite-cve-2025-31125.md
@@ -34,6 +34,9 @@ fixed_versions:
  - "6.0.13"
  - "5.4.16"
  - "4.5.11"
+entity_refs:
+  - "vite:system:root-system"
+  - "vite--project--vite:project:affected-component"
 secure_code_topics:
  - "dependency-upgrade-policy"
  - "file-upload-validation"
@@ -62,6 +65,26 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-4r4m-qw
 - 影响版本: `introduced=6.2.0, fixed<6.2.4, introduced=6.1.0, fixed<6.1.3, introduced=6.0.0, fixed<6.0.13, introduced=5.0.0, fixed<5.4.16, introduced=0, fixed<4.5.11`
 - 修复版本: `6.2.4, 6.1.3, 6.0.13, 5.4.16, 4.5.11`

+## 对象与版本映射
+
+- Advisory Scope: `package`
+- 影响对象: `vite`
+- Entity Refs: `vite, vite--project--vite`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/vitejs/vite/security/advisories/GHSA-4r4m-qw57-chr8, https://nvd.nist.gov/vuln/detail/CVE-2025-31125, https://github.com/vitejs/vite/commit/59673137c45ac2bcfad1170d954347c1a17ab949, https://github.com/vitejs/vite, https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-31125`
+
+## 受控验证流程
+
+- Workflow ID: `vite--CVE-2025-31125--workflow`
+- 漏洞家族: `proxy-boundary`
+- 入口面: `proxy-header-or-trust-boundary`
+- 需要角色: `reverse-proxy-or-edge-client`
+- 触发向量: 对 `proxy-boundary` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/middleware, /x-forwarded-* trust path`
+- 输入形态: 提交受控代理头或来源头，验证信任边界和回源鉴权。
+- 预期不安全行为: 仅凭代理头即可越过鉴权或来源控制。
+
 ## 其他来源

 - https://nvd.nist.gov/vuln/detail/CVE-2025-31125
@@ -69,6 +92,42 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-4r4m-qw
 - https://github.com/vitejs/vite
 - https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-31125

+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+- 上游代理与应用层对 Content-Length / Transfer-Encoding / forwarded headers 的解释差异
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=6.2.0, fixed<6.2.4, introduced=6.1.0, fixed<6.1.3, introduced=6.0.0, fixed<6.0.13` 升级或回移到 `6.2.4`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `proxy-boundary` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层

 - 仅用于自有资产、测试环境或已明确授权目标。
--- a/07-framework-security/frameworks/vite/cases/vite-cve-2025-31486.md
+++ b/07-framework-security/frameworks/vite/cases/vite-cve-2025-31486.md
@@ -34,6 +34,9 @@ fixed_versions:
  - "6.0.14"
  - "5.4.17"
  - "4.5.12"
+entity_refs:
+  - "vite:system:root-system"
+  - "vite--plugin--vite:plugin:affected-component"
 secure_code_topics:
  - "dependency-upgrade-policy"
  - "file-upload-validation"
@@ -63,6 +66,26 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-xcj6-pq
 - 影响版本: `introduced=6.2.0, fixed<6.2.5, introduced=6.1.0, fixed<6.1.4, introduced=6.0.0, fixed<6.0.14, introduced=5.0.0, fixed<5.4.17, introduced=0, fixed<4.5.12`
 - 修复版本: `6.2.5, 6.1.4, 6.0.14, 5.4.17, 4.5.12`

+## 对象与版本映射
+
+- Advisory Scope: `plugin`
+- 影响对象: `vite`
+- Entity Refs: `vite, vite--plugin--vite`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/vitejs/vite/security/advisories/GHSA-xcj6-pq6g-qj4x, https://nvd.nist.gov/vuln/detail/CVE-2025-31486, https://github.com/vitejs/vite/commit/62d7e81ee189d65899bb65f3263ddbd85247b647, https://github.com/vitejs/vite, https://github.com/vitejs/vite/blob/037f801075ec35bb6e52145d659f71a23813c48f/packages/vite/src/node/plugins/asset.ts#L285-L290`
+
+## 受控验证流程
+
+- Workflow ID: `vite--CVE-2025-31486--workflow`
+- 漏洞家族: `proxy-boundary`
+- 入口面: `proxy-header-or-trust-boundary`
+- 需要角色: `reverse-proxy-or-edge-client`
+- 触发向量: 对 `proxy-boundary` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/middleware, /x-forwarded-* trust path`
+- 输入形态: 提交受控代理头或来源头，验证信任边界和回源鉴权。
+- 预期不安全行为: 仅凭代理头即可越过鉴权或来源控制。
+
 ## 其他来源

 - https://nvd.nist.gov/vuln/detail/CVE-2025-31486
@@ -70,6 +93,44 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-xcj6-pq
 - https://github.com/vitejs/vite
 - https://github.com/vitejs/vite/blob/037f801075ec35bb6e52145d659f71a23813c48f/packages/vite/src/node/plugins/asset.ts#L285-L290

+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+- 插件/扩展管理日志、安装日志与版本清单
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+- 插件目录、主题目录或扩展配置表中的测试样本
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+- 上游代理与应用层对 Content-Length / Transfer-Encoding / forwarded headers 的解释差异
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=6.2.0, fixed<6.2.5, introduced=6.1.0, fixed<6.1.4, introduced=6.0.0, fixed<6.0.14` 升级或回移到 `6.2.5`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `proxy-boundary` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层

 - 仅用于自有资产、测试环境或已明确授权目标。
--- a/07-framework-security/frameworks/vite/cases/vite-cve-2025-32395.md
+++ b/07-framework-security/frameworks/vite/cases/vite-cve-2025-32395.md
@@ -34,6 +34,9 @@ fixed_versions:
  - "6.0.15"
  - "5.4.18"
  - "4.5.13"
+entity_refs:
+  - "vite:system:root-system"
+  - "vite--project--vite:project:affected-component"
 secure_code_topics:
  - "dependency-upgrade-policy"
  - "file-upload-validation"
@@ -62,12 +65,68 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-356w-63
 - 影响版本: `introduced=6.2.0, fixed<6.2.6, introduced=6.1.0, fixed<6.1.5, introduced=6.0.0, fixed<6.0.15, introduced=5.0.0, fixed<5.4.18, introduced=0, fixed<4.5.13`
 - 修复版本: `6.2.6, 6.1.5, 6.0.15, 5.4.18, 4.5.13`

+## 对象与版本映射
+
+- Advisory Scope: `package`
+- 影响对象: `vite`
+- Entity Refs: `vite, vite--project--vite`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/vitejs/vite/security/advisories/GHSA-356w-63v5-8wf4, https://nvd.nist.gov/vuln/detail/CVE-2025-32395, https://github.com/vitejs/vite/commit/175a83909f02d3b554452a7bd02b9f340cdfef70, https://github.com/vitejs/vite`
+
+## 受控验证流程
+
+- Workflow ID: `vite--CVE-2025-32395--workflow`
+- 漏洞家族: `proxy-boundary`
+- 入口面: `proxy-header-or-trust-boundary`
+- 需要角色: `reverse-proxy-or-edge-client`
+- 触发向量: 对 `proxy-boundary` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/middleware, /x-forwarded-* trust path`
+- 输入形态: 提交受控代理头或来源头，验证信任边界和回源鉴权。
+- 预期不安全行为: 仅凭代理头即可越过鉴权或来源控制。
+
 ## 其他来源

 - https://nvd.nist.gov/vuln/detail/CVE-2025-32395
 - https://github.com/vitejs/vite/commit/175a83909f02d3b554452a7bd02b9f340cdfef70
 - https://github.com/vitejs/vite

+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+- 上游代理与应用层对 Content-Length / Transfer-Encoding / forwarded headers 的解释差异
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=6.2.0, fixed<6.2.6, introduced=6.1.0, fixed<6.1.5, introduced=6.0.0, fixed<6.0.15` 升级或回移到 `6.2.6`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `proxy-boundary` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层

 - 仅用于自有资产、测试环境或已明确授权目标。
--- a/07-framework-security/frameworks/vite/cases/vite-cve-2025-46565.md
+++ b/07-framework-security/frameworks/vite/cases/vite-cve-2025-46565.md
@@ -34,6 +34,9 @@ fixed_versions:
  - "6.1.6"
  - "5.4.19"
  - "4.5.14"
+entity_refs:
+  - "vite:system:root-system"
+  - "vite--project--vite:project:affected-component"
 secure_code_topics:
  - "dependency-upgrade-policy"
  - "file-upload-validation"
@@ -62,12 +65,67 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-859w-59
 - 影响版本: `introduced=6.3.0, fixed<6.3.4, introduced=6.2.0, fixed<6.2.7, introduced=6.0.0, fixed<6.1.6, introduced=5.0.0, fixed<5.4.19, introduced=0, fixed<4.5.14`
 - 修复版本: `6.3.4, 6.2.7, 6.1.6, 5.4.19, 4.5.14`

+## 对象与版本映射
+
+- Advisory Scope: `package`
+- 影响对象: `vite`
+- Entity Refs: `vite, vite--project--vite`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/vitejs/vite/security/advisories/GHSA-859w-5945-r5v3, https://nvd.nist.gov/vuln/detail/CVE-2025-46565, https://github.com/vitejs/vite/commit/c22c43de612eebb6c182dd67850c24e4fab8cacb, https://github.com/vitejs/vite`
+
+## 受控验证流程
+
+- Workflow ID: `vite--CVE-2025-46565--workflow`
+- 漏洞家族: `file-upload`
+- 入口面: `upload-or-import-surface`
+- 需要角色: `authenticated-uploader`
+- 触发向量: 对 `file-upload` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/upload, /import, /plugin/install`
+- 输入形态: 提交受控非执行样本，验证扩展名、MIME、落盘与执行权限。
+- 预期不安全行为: 上传样本被错误接受、可访问或位于可执行路径。
+
 ## 其他来源

 - https://nvd.nist.gov/vuln/detail/CVE-2025-46565
 - https://github.com/vitejs/vite/commit/c22c43de612eebb6c182dd67850c24e4fab8cacb
 - https://github.com/vitejs/vite

+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=6.3.0, fixed<6.3.4, introduced=6.2.0, fixed<6.2.7, introduced=6.0.0, fixed<6.1.6` 升级或回移到 `6.3.4`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `file-upload` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层

 - 仅用于自有资产、测试环境或已明确授权目标。
--- a/07-framework-security/frameworks/vite/cases/vite-cve-2025-58751.md
+++ b/07-framework-security/frameworks/vite/cases/vite-cve-2025-58751.md
@@ -32,6 +32,9 @@ fixed_versions:
  - "7.0.7"
  - "6.3.6"
  - "5.4.20"
+entity_refs:
+  - "vite:system:root-system"
+  - "vite--project--vite:project:affected-component"
 secure_code_topics:
  - "dependency-upgrade-policy"
  - "file-upload-validation"
@@ -60,6 +63,26 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-g4jq-h2
 - 影响版本: `introduced=7.1.0, fixed<7.1.5, introduced=7.0.0, fixed<7.0.7, introduced=6.0.0, fixed<6.3.6, introduced=0, fixed<5.4.20`
 - 修复版本: `7.1.5, 7.0.7, 6.3.6, 5.4.20`

+## 对象与版本映射
+
+- Advisory Scope: `package`
+- 影响对象: `vite`
+- Entity Refs: `vite, vite--project--vite`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/vitejs/vite/security/advisories/GHSA-g4jq-h2w9-997c, https://nvd.nist.gov/vuln/detail/CVE-2025-58751, https://github.com/lukeed/sirv/commit/f0113f3f8266328d804ee808f763a3c11f8997eb, https://github.com/vitejs/vite/commit/09f2b52e8d5907f26602653caf41b3a56692600d, https://github.com/vitejs/vite/commit/4f1c35bcbb5830290c694aa14b6789e07450f069`
+
+## 受控验证流程
+
+- Workflow ID: `vite--CVE-2025-58751--workflow`
+- 漏洞家族: `proxy-boundary`
+- 入口面: `proxy-header-or-trust-boundary`
+- 需要角色: `reverse-proxy-or-edge-client`
+- 触发向量: 对 `proxy-boundary` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/middleware, /x-forwarded-* trust path`
+- 输入形态: 提交受控代理头或来源头，验证信任边界和回源鉴权。
+- 预期不安全行为: 仅凭代理头即可越过鉴权或来源控制。
+
 ## 其他来源

 - https://nvd.nist.gov/vuln/detail/CVE-2025-58751
@@ -70,6 +93,42 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-g4jq-h2
 - https://github.com/vitejs/vite/commit/e11d24008b97d4ca731ecc1a3b95260a6d12e7e0
 - https://github.com/vitejs/vite

+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+- 上游代理与应用层对 Content-Length / Transfer-Encoding / forwarded headers 的解释差异
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=7.1.0, fixed<7.1.5, introduced=7.0.0, fixed<7.0.7, introduced=6.0.0, fixed<6.3.6` 升级或回移到 `7.1.5`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `proxy-boundary` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层

 - 仅用于自有资产、测试环境或已明确授权目标。
--- a/07-framework-security/frameworks/vite/cases/vite-cve-2025-58752.md
+++ b/07-framework-security/frameworks/vite/cases/vite-cve-2025-58752.md
@@ -32,6 +32,9 @@ fixed_versions:
  - "7.0.7"
  - "6.3.6"
  - "5.4.20"
+entity_refs:
+  - "vite:system:root-system"
+  - "vite--extension--vite:extension:affected-component"
 secure_code_topics:
  - "dependency-upgrade-policy"
  - "file-upload-validation"
@@ -61,6 +64,26 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-jqfw-vq
 - 影响版本: `introduced=7.1.0, fixed<7.1.5, introduced=7.0.0, fixed<7.0.7, introduced=6.0.0, fixed<6.3.6, introduced=0, fixed<5.4.20`
 - 修复版本: `7.1.5, 7.0.7, 6.3.6, 5.4.20`

+## 对象与版本映射
+
+- Advisory Scope: `extension`
+- 影响对象: `vite`
+- Entity Refs: `vite, vite--extension--vite`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/vitejs/vite/security/advisories/GHSA-jqfw-vq24-v9c3, https://nvd.nist.gov/vuln/detail/CVE-2025-58752, https://github.com/vitejs/vite/commit/0ab19ea9fcb66f544328f442cf6e70f7c0528d5f, https://github.com/vitejs/vite/commit/14015d794f69accba68798bd0e15135bc51c9c1e, https://github.com/vitejs/vite/commit/482000f57f56fe6ff2e905305100cfe03043ddea`
+
+## 受控验证流程
+
+- Workflow ID: `vite--CVE-2025-58752--workflow`
+- 漏洞家族: `proxy-boundary`
+- 入口面: `proxy-header-or-trust-boundary`
+- 需要角色: `reverse-proxy-or-edge-client`
+- 触发向量: 对 `proxy-boundary` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/middleware, /x-forwarded-* trust path`
+- 输入形态: 提交受控代理头或来源头，验证信任边界和回源鉴权。
+- 预期不安全行为: 仅凭代理头即可越过鉴权或来源控制。
+
 ## 其他来源

 - https://nvd.nist.gov/vuln/detail/CVE-2025-58752
@@ -71,6 +94,44 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-jqfw-vq
 - https://github.com/vitejs/vite
 - https://github.com/vitejs/vite/blob/v7.1.5/packages/vite/CHANGELOG.md

+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+- 插件/扩展管理日志、安装日志与版本清单
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+- 插件目录、主题目录或扩展配置表中的测试样本
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+- 上游代理与应用层对 Content-Length / Transfer-Encoding / forwarded headers 的解释差异
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=7.1.0, fixed<7.1.5, introduced=7.0.0, fixed<7.0.7, introduced=6.0.0, fixed<6.3.6` 升级或回移到 `7.1.5`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `proxy-boundary` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层

 - 仅用于自有资产、测试环境或已明确授权目标。
--- a/07-framework-security/frameworks/vite/cases/vite-cve-2025-62522.md
+++ b/07-framework-security/frameworks/vite/cases/vite-cve-2025-62522.md
@@ -35,6 +35,9 @@ fixed_versions:
  - "7.0.8"
  - "6.4.1"
  - "5.4.21"
+entity_refs:
+  - "vite:system:root-system"
+  - "vite--project--vite:project:affected-component"
 secure_code_topics:
  - "dependency-upgrade-policy"
  - "file-upload-validation"
@@ -63,12 +66,67 @@ primary_source: "https://github.com/vitejs/vite/security/advisories/GHSA-93m4-66
 - 影响版本: `introduced=7.1.0, fixed<7.1.11, introduced=7.0.0, fixed<7.0.8, introduced=6.0.0, fixed<6.4.1, introduced=2.9.18, fixed<5.4.21, introduced=3.2.9, fixed<5.4.21, introduced=4.5.3, fixed<5.4.21, introduced=5.2.6, fixed<5.4.21`
 - 修复版本: `7.1.11, 7.0.8, 6.4.1, 5.4.21`

+## 对象与版本映射
+
+- Advisory Scope: `package`
+- 影响对象: `vite`
+- Entity Refs: `vite, vite--project--vite`
+- 版本置信度: `high`
+- 版本缺口: `-`
+- 版本证据源: `https://github.com/vitejs/vite/security/advisories/GHSA-93m4-6634-74q7, https://nvd.nist.gov/vuln/detail/CVE-2025-62522, https://github.com/vitejs/vite/commit/f479cc57c425ed41ceb434fecebd63931b1ed4ed, https://github.com/vitejs/vite`
+
+## 受控验证流程
+
+- Workflow ID: `vite--CVE-2025-62522--workflow`
+- 漏洞家族: `file-upload`
+- 入口面: `upload-or-import-surface`
+- 需要角色: `authenticated-uploader`
+- 触发向量: 对 `file-upload` 家族入口投递最小化、可审计、可回滚的受控输入，比较修复前后差异。
+- 请求/页面入口: `/upload, /import, /plugin/install`
+- 输入形态: 提交受控非执行样本，验证扩展名、MIME、落盘与执行权限。
+- 预期不安全行为: 上传样本被错误接受、可访问或位于可执行路径。
+
 ## 其他来源

 - https://nvd.nist.gov/vuln/detail/CVE-2025-62522
 - https://github.com/vitejs/vite/commit/f479cc57c425ed41ceb434fecebd63931b1ed4ed
 - https://github.com/vitejs/vite

+## 证据点与补丁验证
+
+### 服务端证据点
+
+- 应用日志中的命中路径、鉴权决策和异常栈
+- 反向代理或边界层日志中的请求头、来源 IP 与路由决策
+
+### 浏览器证据点
+
+- 基线截图与攻击后截图的 DOM/视觉差异
+- console、network 与 response metadata 中的异常信号
+
+### 数据库/文件系统证据点
+
+- 数据库中新增/越权读取的测试数据
+- 文件系统中新增上传样本、缓存条目或越权读取痕迹
+
+### 检测信号
+
+- WAF / reverse proxy 异常日志、访问日志和告警
+- 应用审计日志中的权限错误、重定向异常、模板渲染或上传落盘事件
+
+### 补丁验证步骤
+
+- 确认目标版本从 `introduced=7.1.0, fixed<7.1.11, introduced=7.0.0, fixed<7.0.8, introduced=6.0.0, fixed<6.4.1` 升级或回移到 `7.1.11`。
+- 保留同一组受控输入，在修复前后分别执行并比对响应、日志与浏览器证据。
+- 确认修复后仅保留预期业务行为，不再触发越权、回显、异常渲染或错误请求。
+- 补充 `file-upload` 族自动化回归，避免同类路径在插件、主题或代理链中回归。
+
+### 实验安全备注
+
+- 只使用回环地址、哨兵目标、无害样本或可回滚测试数据。
+- 禁止造成持久破坏、越权下载真实数据或不可回滚 side effect。
+- 如需浏览器证据，保留 baseline / proof 两份快照以及 console / network 记录。
+
 ## 实验层

 - 仅用于自有资产、测试环境或已明确授权目标。