一、漏洞详情
Vite是一款前端开发构建工具,广泛应用于Vue.js目的开发过程中。
近日,监测到官方修复Vite任意文件读取漏洞(CVE-2025-31125),该漏洞源于Vite开发服务器在处理特定URL请求时,没有对请求的路径进行严格的安全检查和限制,导致攻击者可以绕过保护机制,非法访问项目根目录外的敏感文件。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
6.2.0 <= Vite <= 6.2.3
6.1.0 <= Vite <= 6.1.2
6.0.0 <= Vite <= 6.0.12
5.0.0 <= Vite <= 5.4.15
Vite <= 4.5.10
三、修复建议
目前官方已有可更新版本,建议受影响用户升级至最新版本:
Vite >= 6.2.4
Vite >= 6.1.3
Vite >= 6.0.13
Vite >= 5.4.16
Vite >= 4.5.11