• 漏洞编号：CVE-2025-31486
• 漏洞等级：高危
• 漏洞标签：POC已公开
• 发布时间：2025-04-04

漏洞描述

Vite是一个现代前端构建工具，为Web项目提供更快、更精简的开发体验。其旧版本在使用了‘\-\-host’或‘server.host’配置了公网开放后，未严格校验读取文件的范围，未经授权的远程攻击者可以读取任意文件的内容，导致敏感信息泄漏。

修复建议

升级至最新版本。

参考链接

https://github.com/vitejs/vite/blob/037f801075ec35bb6e52145d659f71a23813c48f/packages/vite/src/node/plugins/asset.ts#L285-L290

https://github.com/vitejs/vite/commit/62d7e81ee189d65899bb65f3263ddbd85247b647

https://github.com/vitejs/vite/security/advisories/GHSA-xcj6-pq6g-qj4x

https://avd.aliyun.com/detail?id=AVD-2025-31486