【漏洞预警】Vite 访问控制不当导致任意文件读取漏洞(CVE-2025-32395)

cexlife 飓风网络安全 2025-04-11 09:06

漏洞描述:

Vite发布安全公告,公开披露了一个访问控制不当漏洞。在某些特定条件下,通过构造特殊URL可以绕过server.fs.deny限制获取服务器上的任意文件内容。

修复建议:

正式防护方案:

针对此漏洞,官方已经发布了漏洞修复版本,请立即更新到安全版本

vite >= 6.2.6

vite >= 6.1.5

vite >= 6.0.15

vite >= 5.4.18

vite >= 4.5.13

下载链接：

https://github.com/vitejs/vite/releases

安装前，请确保备份所有关键数据，并按照官方指南进行操作。安装后，进行全面测试以验证漏洞已被彻底修复，并确保系统其他功能正常运行。

参考链接:

https://github.com/vitejs/vite/security/advisories/GHSA-356w-63v5-8wf4