【漏洞通告】Vite 任意文件讀取漏洞(CVE-2025-31486)

發布時間 2025-04-07

一、漏洞概述


漏洞名稱

Vite 任意文件讀取漏洞

CVE   ID

CVE-2025-31486

漏洞類型

信息泄露

發現時間

2025-04-07

漏洞評分

5.3

漏洞等級

中危

攻擊向量

網絡

所需權限

利用難度

用戶交互

需要

PoC/EXP

已公開

在野利用

未發現


Vite是一個現代化的前端構建工具,旨在提供更快的開發體驗。它通過基于原生ES模塊的開發服務器,在開發過程中實現極速熱更新(HMR)。Vite在構建時使用了高度優化的打包工具,如esbuild,極大提高了構建速度。它支持多種前端框架(如React、Vue)并可以通過插件擴展功能。Vite的目標是簡化前端開發工作流,并提升開發效率。


2025年4月7日,啟明星辰集團VSRC監測到Vite發布的安全公告,指出在特定版本中存在任意文件讀取漏洞。允許攻擊者通過構造特定的請求路徑(如修改為 .svg 文件擴展名并結合其他參數)繞過文件訪問限制,暴露任意文件的內容,可能導致敏感信息泄露。該漏洞僅在開發服務器通過--host或server.host配置暴露至網絡時,才可能被利用,漏洞評分5.3分,漏洞級別為中危。


二、影響范圍


6.2.0 <= Vite <= 6.2.4
6.1.0 <= Vite <= 6.1.3
6.0.0 <= Vite <= 6.0.13
5.0.0 <= Vite <= 5.4.16
Vite <= 4.5.11


三、安全措施


3.1 升級版本


官方已發布修復版本,建議受影響用戶盡快更新。
Vite >= 6.2.5
6.1.4 <= Vite < 6.2.0
6.0.14 <= Vite < 6.1.0
5.4.17 <= Vite < 6.0.0
4.5.12 <= Vite < 5.0.0


下載鏈接:https://github.com/vitejs/vite/releases/


3.2 臨時措施


暫無。


3.3 通用建議


? 定期更新系統補丁,減少系統漏洞,提升服務器的安全性。
加強系統和網絡的訪問控制,修改防火墻策略,關閉非必要的應用端口或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
使用企業級安全產品,提升企業的網絡安全性能。
加強系統用戶和權限管理,啟用多因素認證機制和最小權限原則,用戶和軟件權限應保持在最低限度。
啟用強密碼策略并設置為定期修改。


3.4 參考鏈接


https://github.com/vitejs/vite/blob/037f801075ec35bb6e52145d659f71a23813c48f/packages/vite/src/node/plugins/asset.ts#L285-L290
https://github.com/vitejs/vite/commit/62d7e81ee189d65899bb65f3263ddbd85247b647
https://github.com/vitejs/vite/security/advisories/GHSA-xcj6-pq6g-qj4x
https://github.com/vitejs/vite/security/advisories/GHSA-xcj6-pq6g-qj4x
https://nvd.nist.gov/vuln/detail/CVE-2025-31486