一、漏洞详情
vite是一款前端开发构建工具,广泛应用于vue.js目的开发过程中。
近日,监测到官方修复vite任意文件读取漏洞(cve-2025-31125),该漏洞源于vite开发服务器在处理特定url请求时,没有对请求的路径进行严格的安全检查和限制,导致攻击者可以绕过保护机制,非法访问项目根目录外的敏感文件。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
6.2.0 <= vite <= 6.2.3
6.1.0 <= vite <= 6.1.2
6.0.0 <= vite <= 6.0.12
5.0.0 <= vite <= 5.4.15
vite <= 4.5.10
三、修复建议
目前官方已有可更新版本,建议受影响用户升级至最新版本:
vite >= 6.2.4
vite >= 6.1.3
vite >= 6.0.13
vite >= 5.4.16
vite >= 4.5.11
