一、漏洞详情
vite是一款前端开发构建工具,广泛应用于vue.js目的开发过程中。
近日,监测到官方修复vite任意文件读取漏洞(cve-2025-31486),该漏洞源于vite开发服务器在处理特定url请求时,没有对请求的路径进行严格的安全检查和限制,导致攻击者可以绕过保护机制,非法访问项目根目录外的敏感文件。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
6.2.0 <= vite <= 6.2.4
6.1.0 <= vite <= 6.1.3
6.0.0 <= vite <= 6.0.13
5.0.0 <= vite <= 5.4.16
vite <= 4.5.11
三、修复建议
目前官方已有可更新版本,建议受影响用户升级至最新版本:
vite >= 6.2.5
vite >= 6.1.4
vite >= 6.0.14
vite >= 5.4.17
vite >= 4.5.12
