Vite 是一个现代化的前端构建工具,旨在提供快速的开发服务器和优化的构建流程,广泛用于开发 JavaScript 和 TypeScript 的 Web 应用程序。
2025 年 3 月,Vite 官方发布安全补丁,修复了一个任意文件读取漏洞(CVE-2025-30208)。该漏洞允许攻击者通过构造特殊 URL 绕过 Vite 的文件访问限制,读取服务器上的任意文件内容。虽然该漏洞的利用需要特定的服务器配置,但由于许多流行前端框架集成了 Vite,其潜在影响范围极广,建议受影响的用户立即修复该漏洞。
漏洞成因
利用条件
Vite 开发服务器需通过 --host 或 server.host 配置选项暴露到网络(默认仅限本地访问)。
漏洞影响
任意文件读取:攻击者可读取服务器上的敏感文件(如配置文件、密钥文件等),可能导致凭据泄露或其他安全风险。
处置优先级:高
漏洞类型:逻辑漏洞
漏洞危害等级:高
触发方式:网络远程
权限认证要求:无需权限
系统配置要求:非默认配置,需将 Vite 开发服务器暴露到互联网上
用户交互要求:无需用户交互
利用成熟度:POC/EXP 已公开
修复复杂度:低,官方提供升级修复方案
6.2.0 <= vite < 6.2.3
6.1.0 <= vite < 6.1.2
6.0.0 <= vite < 6.0.12
5.0.0 <= vite < 5.4.15
vite < 4.5.10
临时缓解方案
如果暂时无法升级,可以采取以下措施降低风险:
1. 限制网络访问:将 --host 或 server.host 设置为 localhost,确保开发服务器仅限本地访问。
2. 严格文件权限:确保敏感文件不可被 Vite 进程读取(例如通过操作系统权限控制)。
升级修复方案
Vite 官方已发布安全补丁,修复版本包括:
6.2.3、6.1.2、6.0.12、5.4.15、4.5.10
请尽快通过 npm update vite 或手动升级到以上版本以修复漏洞。
原文始发于微信公众号(长亭安全应急响应中心):【已复现】Vite 任意文件读取漏洞(CVE-2025-30208)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论