【高危漏洞预警】Vite任意文件读取漏洞（CVE-2025-31125）

漏洞描述:

Vite框架中存在访问控制不当漏洞,该漏洞源于Vite中可以通过使用?inline&import或?raw?import来越权获取非允许文件内容,攻击者可以利用该漏洞读取设备上任意文件内容,该漏洞的利用需要特定的服务器配置。官方已发布新版本修复此漏洞,建议受影响用户及时升级到安全版本。

漏洞复现:

修复建议:

正式防护方案:

针对此漏洞,官方已经发布了漏洞修复版本,请立即更新到安全版本:

vite >= 6.2.4

vite >= 6.1.3

vite >= 6.0.13

vite >= 5.4.16

vite >= 4.5.11

下载链接:

https://github.com/vitejs/vite/releases

安装前,请确保备份所有关键数据,并按照官方指南进行操作。安装后,进行全面测试以验证漏洞已被彻底修复,并确保系统其他功能正常运行。

参考链接:

https://github.com/vitejs/vite/security/advisories/GHSA-4r4m-qw57-chr8

原文始发于微信公众号（飓风网络安全）：【高危漏洞预警】Vite任意文件读取漏洞（CVE-2025-31125）