影响资产居多 | Vite 任意文件读取 【CVE-2025-32395】

原创 匿名白帽子 WK安全 2025-04-12 03:09

免责声明
  由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负
责，WK安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除
并致歉。谢谢！

漏洞描述

Vite 是一款现代化前端构建工具，广泛应用于 JavaScript 和 TypeScript Web 应用的开发流程中。它内置开发服务器用于本地调试，但在某些配置或开发场景下，该漏洞可能被远程或本地攻击者利用，读取系统敏感文件，带来严重的安全风险。

该漏洞源于 Vite 在处理带有特定查询参数的 URL 时，其路径校验逻辑存在缺陷。由于正则表达式与参数解析流程不严谨，攻击者可构造特定请求路径绕过安全检查，进而访问服务器上未授权的本地文件。该缺陷属于路径穿越（Path Traversal）类型漏洞。

影响版本

6.2.0 <= vite < 6.2.6
6.1.0 <= vite < 6.1.5
6.0.0 <= vite < 6.0.15
5.0.0 <= vite < 5.4.18
vite <= 4.5.12

漏洞复现

需要POC的后台回复”
412
“获取

资产语法

app.name="Vite"

技术交流&POC获取