【漏洞预警】Vite 任意文件读取漏洞(CVE-2025-32395)
【漏洞预警】Vite 任意文件读取漏洞(CVE-2025-32395)
原创 聚焦网络安全情报 安全聚 2025-04-12 03:55
中
危
公
告
近日,安全聚实验室监测到 Vite 存在任意文件读取漏洞 ,编号为:CVE-2025-32395,CVSS:6.0 由于没有对请求的路径进行严格的安全检查和限制,攻击者可利用该漏洞获取敏感信息,可能导致系统数据泄露等严重后果。
01 漏洞描述
VULNERABILITY DESC.
Vite 是一款现代化、轻量级的前端构建工具,旨在提高开发者的开发体验和构建速度。通过利用现代浏览器的原生 ES 模块导入特性,Vite 实现了快速的冷启动,即时热更新和高效的生产构建。Vite 支持 Vue、React、Lit Element 等框架,同时集成了 TypeScript、CSS 预处理器等功能,为开发者提供了一个快速、简洁而强大的开发工具,助力他们构建出色的现代 Web 应用程序。该漏洞是由于 Vite 开发服务器在处理特定 URL 请求时,未对请求路径进行严格的安全检查和限制所致。攻击者可以利用这一漏洞绕过保护机制,未经授权地访问项目根目录之外的敏感文件。
02 影响范围
IMPACT SCOPE
6.2.0 <= Vite <= 6.2.5
6.1.0 <= Vite <= 6.1.4
6.0.0 <= Vite <= 6.0.14
5.0.0 <= Vite <= 5.4.17
Vite <= 4.5.12
03 安全措施
SECURITY MEASURES
目前厂商已发布可更新版本,建议用户尽快更新至
Vite 的修复版本或更高的版本:
Vite >= 6.2.6
Vite >= 6.1.5
Vite >= 6.0.15
Vite >= 5.4.18
Vite >= 4.5.13
下载链接:
https://github.com/vitejs/vite/releases
04 参考链接
REFERENCE LINK
- https://github.com/vitejs/vite/security/advisories/GHSA-356w-63v5-8wf4
05 技术支持
TECHNICAL SUPPORT
长按识别二维码,关注 “安全聚”
公众号!如有任何问题或需要帮助,随时联系我们的技术支持团队。
联系我们
微信号:SecGat
关注安全聚,获取更多精彩文章。
END
HISTORY
/
往期推荐
【漏洞库支撑单位】成为CNNVD漏洞库支撑单位,助力网络安全!申请全流程解读,专业团队助您高效通过
【漏洞预警 | 已复现】Vite 任意文件读取漏洞(CVE-2025-31486)
【漏洞预警 | 已复现】Windows TCP/IP 远程执行代码漏洞(CVE-2024-38063)