近日,安全聚实验室监测到 Vite 存在任意文件读取漏洞 ,编号为:CVE-2025-31486,CVSS:5.3 由于没有对请求的路径进行严格的安全检查和限制,攻击者可以绕过保护机制,非法访问项目根目录外的敏感文件。
Vite 是一款现代化、轻量级的前端构建工具,旨在提高开发者的开发体验和构建速度。通过利用现代浏览器的原生 ES 模块导入特性,Vite 实现了快速的冷启动,即时热更新和高效的生产构建。Vite 支持 Vue、React、Lit Element 等框架,同时集成了 TypeScript、CSS 预处理器等功能,为开发者提供了一个快速、简洁而强大的开发工具,助力他们构建出色的现代 Web 应用程序。该漏洞是由于 Vite 开发服务器在处理特定 URL 请求时,未对请求路径进行严格的安全检查和限制所致。攻击者可以利用这一漏洞绕过保护机制,未经授权地访问项目根目录之外的敏感文件。鉴于该漏洞影响大,需要尽快修复,以确保项目的安全性和数据的保护。
目前,安全聚已成功复现Vite 任意文件读取漏洞(CVE-2025-31486) ,截图如下:
Vite >= 6.2.5
https://github.com/vitejs/vite/releases
原文始发于微信公众号(安全聚):【已复现】Vite 任意文件读取漏洞(CVE-2025-31486) 附POC
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论