【已复现】Vite 任意文件读取漏洞(CVE-2025-31486) 附POC
【已复现】Vite 任意文件读取漏洞(CVE-2025-31486) 附POC
原创 聚焦网络安全情报 安全聚 2025-04-07 20:52
中
危
预
警
近日,安全聚实验室监测到 Vite 存在任意文件读取漏洞 ,编号为:CVE-2025-31486,CVSS:5.3 由于没有对请求的路径进行严格的安全检查和限制,攻击者可以绕过保护机制,非法访问项目根目录外的敏感文件。
01 漏洞描述
VULNERABILITY DESC.
Vite 是一款现代化、轻量级的前端构建工具,旨在提高开发者的开发体验和构建速度。通过利用现代浏览器的原生 ES 模块导入特性,Vite 实现了快速的冷启动,即时热更新和高效的生产构建。Vite 支持 Vue、React、Lit Element 等框架,同时集成了 TypeScript、CSS 预处理器等功能,为开发者提供了一个快速、简洁而强大的开发工具,助力他们构建出色的现代 Web 应用程序。该漏洞是由于 Vite 开发服务器在处理特定 URL 请求时,未对请求路径进行严格的安全检查和限制所致。攻击者可以利用这一漏洞绕过保护机制,未经授权地访问项目根目录之外的敏感文件。鉴于该漏洞影响大,需要尽快修复,以确保项目的安全性和数据的保护。
02 影响范围
IMPACT SCOPE
6.2.0 <= Vite <= 6.2.4
6.1.0 <= Vite <= 6.1.3
6.0.0 <= Vite <= 6.0.13
5.0.0 <= Vite <= 5.4.16
Vite <= 4.5.11
04 漏洞复现
VULN REPLICATION
目前,安全聚已成功复现
Vite 任意文件读取漏洞(CVE-2025-31486)
,截图如下:
关注 “安全聚” 公众号!回复 “31486”
可获得POC。
05 安全措施
SECURITY MEASURES
目前厂商已发布可更新版本,建议用户尽快更新至
Vite 的修复版本或更高的版本:
Vite >= 6.2.5
Vite >= 6.1.4
Vite >= 6.0.14
Vite >= 5.4.17
Vite >= 4.5.12
官方补丁下载:
https://github.com/vitejs/vite/releases
06 参考链接
REFERENCE LINK
1.https://github.com/vitejs/vite/security/advisories/GHSA-xcj6-pq6g-qj4x
07 技术支持
TECHNICAL SUPPORT
长按识别二维码,关注 “安全聚”
公众号!如有任何问题或需要帮助,随时联系我们的技术支持团队。
联系我们
微信号:SecGat
关注安全聚,获取更多精彩文章。
END
HISTORY
/
往期推荐
【漏洞预警 | 已复现】Apache OFBiz远程代码执行漏洞(CVE-2024-38856)
【漏洞预警 | 已复现】Splunk Enterprise 未授权任意文件读取漏洞(CVE-2024-36991)