【漏洞通告】Vite 任意文件讀取漏洞(CVE-2025-31125)
發布時間 2025-04-01一、漏洞概述
漏洞名稱 | Vite 任意文件讀取漏洞 | ||
CVE ID | CVE-2025-31125 | ||
漏洞類型 | 信息泄露 | 發現時間 | 2025-04-01 |
漏洞評分 | 5.3 | 漏洞等級 | 中危 |
攻擊向量 | 網絡 | 所需權限 | 無 |
利用難度 | 高 | 用戶交互 | 需要 |
PoC/EXP | 已公開 | 在野利用 | 未發現 |
Vite是一個現代化的前端構建工具,旨在提供更快的開發體驗。它通過基于原生ES模塊的開發服務器,在開發過程中實現極速熱更新(HMR)。Vite在構建時使用了高度優化的打包工具,如esbuild,極大提高了構建速度。它支持多種前端框架(如React、Vue)并可以通過插件擴展功能。Vite的目標是簡化前端開發工作流,并提升開發效率。
二、影響范圍
三、安全措施
3.1 升級版本
官方已發布修復版本,建議受影響用戶盡快更新。
下載鏈接:https://github.com/vitejs/vite/releases/