一、背景介绍
近日,监测到Vite修复了任意文件读取漏洞(CVE-2025-31486)。
1.1漏洞描述
由于Vite在处理带有特定查询参数的URL时,参数处理存在缺陷,导致安全检查被绕过。攻击者利用这一缺陷,通过精心构造的请求路径,从而读取目标服务器上的任意文件。
只有明确将Vite开发服务器公开到网络(使用--host或server.host配置选项)的应用程序才会受到影响,默认仅限本地访问。
由于许多流行的前端框架集成了Vite,所以此漏洞的影响范围极广。该漏洞PoC已公开。
1.2漏洞编号
CVE-2025-31486
1.3漏洞等级
高危
二、修复建议
2.1受影响版本
6.2.0 <= Vite <= 6.2.4
6.1.0 <= Vite <= 6.1.3
6.0.0 <= Vite <= 6.0.13
5.0.0 <= Vite <= 5.4.16
Vite <= 4.5.11
2.2修复建议
官方已发布了解决此漏洞的软件更新,建议受影响单位尽快升级到安全版本:
Vite >= 6.2.5
Vite >= 6.1.4
Vite >= 6.0.14
Vite >= 5.4.17
Vite >= 4.5.12
下载链接:https://github.com/vitejs/vite/releases