北京赛克艾威科技有限公司 2025-03-26
Vite 是一个现代化的前端构建工具,旨在提供快速的开发服务器和优化的构建流程,广泛用于开发基于 JavaScript 和 TypeScript 的 Web 应用程序。 2025 年 3 月,Vite 官方发布安全补丁,修复了一个任意文件读取漏洞(CVE\-2025\-30208)。该漏洞允许攻击者通过构造特殊 URL 绕过 Vite 的文件访问限制,读取服务器上的任意文件内容。由于该漏洞的利用需要特定的服务器配置,受影响的用户可根据实际情况评估风险并决定是否立即修复。 该漏洞源于 Vite 在处理带有特定查询参数的 URL 时,正则表达式和参数处理逻辑存在缺陷,导致安全检查被绕过。攻击者利用这一缺陷,通过精心构造的请求路径,访问服务器上不在允许访问列表中的文件。 影响版本: 6.2.0 <\= vite < 6.2.3 6.1.0 <\= vite < 6.1.2 6.0.0 <\= vite < 6.0.12 5.0.0 <\= vite < 5.4.15 vite < 4.5.10
暂无
https://github.com/vitejs/vite/commit/315695e9d97cc6cfa7e6d9e0229fb50cdae3d9f4
https://github.com/vitejs/vite/commit/80381c38d6f068b12e6e928cd3c616bd1d64803c
https://github.com/vitejs/vite/commit/807d7f06d33ab49c48a2a3501da3eea1906c0d41
https://github.com/vitejs/vite/commit/92ca12dc79118bf66f2b32ff81ed09e0d0bd07ca
https://github.com/vitejs/vite/commit/f234b5744d8b74c95535a7b82cc88ed2144263c1
https://github.com/vitejs/vite/security/advisories/GHSA-x574-m823-4x7w
https://stack.chaitin.com/vuldb/detail/0fb07f84-3053-4fce-a4d2-0ba508e06e8e