【漏洞通告】Vite 任意文件讀取漏洞(CVE-2025-31125)

發布時間 2025-04-01

一、漏洞概述


漏洞名稱

Vite 任意文件讀取漏洞

CVE   ID

CVE-2025-31125

漏洞類型

信息泄露

發現時間

2025-04-01

漏洞評分

5.3

漏洞等級

中危

攻擊向量

網絡

所需權限

利用難度

用戶交互

需要

PoC/EXP

已公開

在野利用

未發現


Vite是一個現代化的前端構建工具,旨在提供更快的開發體驗。它通過基于原生ES模塊的開發服務器,在開發過程中實現極速熱更新(HMR)。Vite在構建時使用了高度優化的打包工具,如esbuild,極大提高了構建速度。它支持多種前端框架(如React、Vue)并可以通過插件擴展功能。Vite的目標是簡化前端開發工作流,并提升開發效率。


2025年4月1日,啟明星辰集團VSRC監測到Vite發布的安全公告,指出在特定版本中存在任意文件讀取漏洞。攻擊者可以通過?inline&import或?raw?import參數獲取經過base64編碼的非授權文件內容。該漏洞僅在開發服務器通過--host或server.host配置暴露至網絡時,才可能被利用,漏洞評分5.3分,漏洞級別為中危。


二、影響范圍


6.2.0 <= Vite <= 6.2.3
6.1.0 <= Vite <= 6.1.2
6.0.0 <= Vite <= 6.0.12
5.0.0 <= Vite <= 5.4.15
Vite <= 4.5.10


三、安全措施


3.1 升級版本


官方已發布修復版本,建議受影響用戶盡快更新。


Vite >= 6.2.4
6.1.3 <= Vite < 6.2.0
6.0.13 <= Vite < 6.1.0
5.4.16 <= Vite < 6.0.0
4.5.11 <= Vite < 5.0.0


下載鏈接:https://github.com/vitejs/vite/releases/


3.2 臨時措施


暫無。


3.3 通用建議


? 定期更新系統補丁,減少系統漏洞,提升服務器的安全性。
加強系統和網絡的訪問控制,修改防火墻策略,關閉非必要的應用端口或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
使用企業級安全產品,提升企業的網絡安全性能。
加強系統用戶和權限管理,啟用多因素認證機制和最小權限原則,用戶和軟件權限應保持在最低限度。
啟用強密碼策略并設置為定期修改。


3.4 參考鏈接


https://github.com/vitejs/vite/security/advisories/GHSA-4r4m-qw57-chr8
https://github.com/vitejs/vite
https://nvd.nist.gov/vuln/detail/CVE-2025-31125