通告编号:NS-2025-0021
TAG: |
Vite、任意文件读取、CVE-2025-31486 |
漏洞危害: |
攻击者利用此漏洞,可实现任意文件读取。 |
版本: | 1.0 |
漏洞概述
近日,绿盟科技CERT监测到Vite发布安全公告,修复了Vite任意文件读取漏洞(CVE-2025-31486);由于Vite开发服务器在处理URL请求时未对路径进行严格校验,未经身份验证的攻击者可以通过构造特殊的URL绕过路径访问限制,从而读取目标服务器上的任意文件。目前漏洞细节与PoC已公开,请相关用户尽快采取措施进行防护。
Vite是一个现代化的前端开发与构建工具,提供极速的开发服务器启动速度和高效的热更新机制,支持多框架开发,如Vue、React等。因其出色的性能和丰富的插件生态,成为前端开发领域的热门选择。
绿盟科技发现并向官方提交了此漏洞:
参考链接:
https://github.com/vitejs/vite/security/advisories/GHSA-xcj6-pq6g-qj4x
SEE MORE →
2影响范围
受影响版本
-
6.2.0 <= Vite <= 6.2.4
-
6.1.0 <= Vite <= 6.1.3
-
6.0.0 <= Vite <= 6.0.13
-
5.0.0 <= Vite <= 5.4.16
-
Vite <= 4.5.11
注:影响将Vite开发服务器暴露到网络(启用--host或配置server.host)的应用。
不受影响版本
-
Vite >= 6.2.5
-
6.1.4 <= Vite < 6.2.0
-
6.0.14 <= Vite < 6.1.0
-
5.4.17 <= Vite < 6.0.0
-
4.5.12 <= Vite < 5.0.0
3漏洞检测
3.1 人工检测
相关用户可通过查看当前Vite版本是否在受影响范围,对当前服务是否受此漏洞影响进行排查。
通过npm全局安装的可使用下列命令进行查看:
也可在终端命令行直接运行vite -v命令查看:
3.2 工具检测
绿盟科技自动化渗透测试工具(EZ)已支持Vite的指纹识别和CVE-2025-31486漏洞风险检测(注:企业版请联系绿盟销售人员获取)。
用户可使用下列命令进行漏洞检测:
./ez webscan --pocs vite -u https:192.168.1.41:443/ |
工具下载链接:https://github.com/m-sec-org/EZ/releases
新用户请注册M-SEC社区(https://msec.nsfocus.com)申请证书进行使用:
注:社区版本将于近期发布上述功能
4暴露面风险排查
4.1 云端检测
绿盟科技外部攻击面管理服务(EASM)支持CVE-2025-31486漏洞风险的互联网资产排查,目前已帮助服务客户群体完成了暴露面排查与风险验证,在威胁发生前及时进行漏洞预警与闭环处置。
感兴趣的客户可通过联系绿盟当地区域同事或发送邮件至[email protected]安排详细的咨询交流。
4.2 本地排查
绿盟科技CTEM解决方案可以支持主动进行Vite相关资产和CVE-2025-31486漏洞风险的发现和排查:
用户使用外部攻击面发现功能将CVE-2025-31486漏洞线索同步至云端,通过资产测绘的方式获取目标单位的受影响资产。
通过指纹识别或PoC扫描进行测绘:
5漏洞防护
5.1 官方升级
目前官方已发布新版本修复此漏洞,请受影响的用户尽快升级防护,下载链接:https://github.com/vitejs/vite/releases
5.2 临时防护措施
若相关用户暂时无法进行升级操作,可在不影响业务的前提下,通过对Vite开发服务器进行访问限制来临时缓解。
END
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
原文始发于微信公众号(绿盟科技CERT):【原创漏洞】Vite任意文件读取漏洞(CVE-2025-31486)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论