Vite开发服务器任意文件读取漏洞(CVE-2025-31486)

北京赛克艾威科技有限公司 2025-04-04


  • 漏洞编号:CVE-2025-31486
  • 漏洞等级:高危
  • 漏洞标签:POC已公开
  • 发布时间:2025-04-04

漏洞描述

Vite是一个现代前端构建工具,为Web项目提供更快、更精简的开发体验。其旧版本在使用了‘\-\-host’或‘server.host’配置了公网开放后,未严格校验读取文件的范围,未经授权的远程攻击者可以读取任意文件的内容,导致敏感信息泄漏。

修复建议

升级至最新版本。

参考链接

https://github.com/vitejs/vite/blob/037f801075ec35bb6e52145d659f71a23813c48f/packages/vite/src/node/plugins/asset.ts#L285-L290

https://github.com/vitejs/vite/commit/62d7e81ee189d65899bb65f3263ddbd85247b647

https://github.com/vitejs/vite/security/advisories/GHSA-xcj6-pq6g-qj4x

https://avd.aliyun.com/detail?id=AVD-2025-31486