漏洞背景
近日,嘉诚安全监测到Vite 任意文件读取漏洞,漏洞编号为:CVE-2025-30208
Vite 是一款现代化的前端开发构建工具,它提供了快速的开发服务器和高效的构建能力,广泛应用于 Vue.js 项目的开发过程中。
鉴于漏洞危害较大,嘉诚安全提醒相关用户尽快更新至安全版本,避免引发漏洞相关的网络安全事件。
漏洞详情
经研判,该漏洞为高危漏洞,POCEXP已公开。该漏洞源于 Vite 开发服务器在处理特定 URL 请求时,没有对请求的路径进行严格的安全检查和限制,导致攻击者可以绕过保护机制,非法访问项目根目录外的敏感文件。
危害影响
影响版本:
6.2.0 <= Vite <= 6.2.2
6.1.0 <= Vite <= 6.1.1
6.0.0 <= Vite <= 6.0.11
5.0.0 <= Vite <= 5.4.14
Vite <= 4.5.9
处置建议
目前官方已有可更新版本,建议受影响用户升级至最新版本:
Vite >= 6.2.3
Vite >= 6.1.2
Vite >= 6.0.12
Vite >= 5.4.15
Vite >= 4.5.10
官方补丁下载地址:
https://github.com/vitejs/vite/releases
修复缓解措施:
通过限制开发服务器的访问权限,如关闭 server.host 或将其绑定到特定的 IP 地址,以减少攻击面。
参考链接:
[1]https://github.com/vitejs/vite/security/advisories/GHSA-x574-m823-4x7w
[2]https://nvd.nist.gov/vuln/detail/CVE-2025-30208
原文始发于微信公众号(嘉诚安全):【漏洞通告】Vite 任意文件读取漏洞安全风险通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论