【漏洞通告】Vite 任意文件讀取漏洞(CVE-2025-31486)
發布時間 2025-04-07一、漏洞概述
漏洞名稱 | Vite 任意文件讀取漏洞 | ||
CVE ID | CVE-2025-31486 | ||
漏洞類型 | 信息泄露 | 發現時間 | 2025-04-07 |
漏洞評分 | 5.3 | 漏洞等級 | 中危 |
攻擊向量 | 網絡 | 所需權限 | 無 |
利用難度 | 高 | 用戶交互 | 需要 |
PoC/EXP | 已公開 | 在野利用 | 未發現 |
Vite是一個現代化的前端構建工具,旨在提供更快的開發體驗。它通過基于原生ES模塊的開發服務器,在開發過程中實現極速熱更新(HMR)。Vite在構建時使用了高度優化的打包工具,如esbuild,極大提高了構建速度。它支持多種前端框架(如React、Vue)并可以通過插件擴展功能。Vite的目標是簡化前端開發工作流,并提升開發效率。
2025年4月7日,啟明星辰集團VSRC監測到Vite發布的安全公告,指出在特定版本中存在任意文件讀取漏洞。允許攻擊者通過構造特定的請求路徑(如修改為 .svg 文件擴展名并結合其他參數)繞過文件訪問限制,暴露任意文件的內容,可能導致敏感信息泄露。該漏洞僅在開發服務器通過--host或server.host配置暴露至網絡時,才可能被利用,漏洞評分5.3分,漏洞級別為中危。
二、影響范圍
三、安全措施
3.1 升級版本
下載鏈接:https://github.com/vitejs/vite/releases/
3.2 臨時措施
暫無。