Vite任意文件读取漏洞

• • 漏洞编号：CVE-2025-31486
    
• 漏洞类型：信息泄露
• 漏洞等级：高危
• 发布时间：2025-04-03

              

漏洞描述：

Vite 是一款现代化的前端开发构建工具，它提供了快速的开发服务器和高效的构建能力，广泛应用于 Vue.js 项目的开发过程中。

近日，监测到官方修复Vite 任意文件读取漏洞(CVE-2025-31486)，该漏洞源于 Vite 开发服务器在处理特定 URL 请求时，没有对请求的路径进行严格的安全检查和限制，导致攻击者可以绕过保护机制，非法访问项目根目录外的敏感文件。目前该漏洞技术细节与PoC已在互联网上公开，鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

 

影响版本：

 

修复建议

安全更新

目前官方已有可更新版本，建议受影响用户升级至最新版本：

Vite >= 6.2.5

Vite >= 6.1.4

Vite >= 6.0.14

Vite >= 5.4.17

Vite >= 4.5.12

官方补丁下载地址：

https://github.com/vitejs/vite/releases

修复缓解措施：

通过限制开发服务器的访问权限，如关闭 server.host 或将其绑定到特定的 IP 地址，以减少攻击面。

参考链接:
https://github.com/vitejs/vite/security/advisories/GHSA-xcj6-pq6g-qj4x