Vite 是一个现代化的前端构建工具,旨在提供快速的开发服务器和优化的构建流程,广泛用于开发 JavaScript 和 TypeScript 的 Web 应用程序。
2025 年 3 月,长亭安全研究员发现一个 Vite 任意文件读取漏洞,并第一时间向监管单位报送了漏洞。目前 Vite 官方已发布安全补丁,修复了该漏洞(CVE-2025-31125)。该漏洞允许攻击者通过构造特殊 URL 绕过 Vite 的文件访问限制,读取服务器上的任意文件内容。虽然该漏洞的利用需要特定的服务器配置,但由于许多流行前端框架集成了 Vite,其潜在影响范围极广,建议受影响的用户立即修复该漏洞。
漏洞成因
利用条件
Vite 开发服务器需通过 --host 或 server.host 配置选项暴露到网络(默认仅限本地访问)。
漏洞影响
任意文件读取:攻击者可读取服务器上的敏感文件(如配置文件、密钥文件等),可能导致凭据泄露或其他安全风险。
处置优先级:高
漏洞类型:逻辑漏洞
漏洞危害等级:高
触发方式:网络远程
权限认证要求:无需权限
系统配置要求:非默认配置,需将 Vite 开发服务器暴露到互联网上
用户交互要求:无需用户交互
利用成熟度:POC/EXP 已公开
修复复杂度:低,官方提供升级修复方案
6.2.0 <= vite <= 6.2.3
6.1.0 <= vite <= 6.1.2
6.0.0 <= vite <= 6.0.12
5.0.0 <= vite <= 5.4.15
vite <= 4.5.10
临时缓解方案
如果暂时无法升级,可以采取以下措施降低风险:
1. 限制网络访问:将 --host 或 server.host 设置为 localhost,确保开发服务器仅限本地访问。
2. 严格文件权限:确保敏感文件不可被 Vite 进程读取(例如通过操作系统权限控制)。
升级修复方案
Vite 官方已发布安全补丁,修复版本包括:
6.2.4、6.1.3、6.0.13、5.4.16、4.5.11
请尽快通过 npm update vite 或手动升级到以上版本以修复漏洞。
原文始发于微信公众号(长亭安全应急响应中心):【原创0day】Vite 任意文件读取漏洞(CVE-2025-31125)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论