【误差通告】Vite文件会见控制绕过误差(CVE-2025-30208)

宣布时间 2025-03-27

一、误差概述


误差名称

Vite文件会见控制绕过误差

CVE   ID

CVE-2025-30208

误差类型

会见控制误差

发明时间

2025-03-27

误差评分

5.3

误差品级

中危

攻击向量

网络

所需权限

使用难度

用户交互

需要

PoC/EXP

已果真

在野使用

未发明


Vite是一个现代化的前端构建工具,旨在提供更快的开发体验。它通过基于原生ES模块的开发服务器,在开发历程中实现极速热更新(HMR)。Vite在构建时使用了高度优化的打包工具,如esbuild,极大提高了构建速率。它支持多种前端框架(如React、Vue)并可以通过插件扩展功效。Vite的目的是简化前端开发事情流,并提升开发效率。


2025年3月27日,尊龙凯官网入口集团VSRC监测到Vite宣布的清静通告,通告指出Vite在特定版本前保存会见控制误差,攻击者可通过结构包括?raw??或?import&raw??的URL绕过@fs文件会见限制,读取恣意文件内容。该问题源于系统在处置惩罚URL盘问参数时未准确识别尾部分隔符,导致绕过控制逻辑。仅当开发服务器通过--host或server.host袒露至网络时,误差才可被使用。


二、影响规模


6.2.0 <= Vite <= 6.2.2
6.1.0 <= Vite <= 6.1.1
6.0.0 <= Vite <= 6.0.11
5.0.0 <= Vite <= 5.4.14
Vite <= 4.5.9


三、清静步伐


3.1 升级版本


官方已宣布修复版本,建议受影响用户尽快更新。
Vite >= 6.2.3
6.1.2 <= Vite < 6.2.0
6.0.12 <= Vite < 6.1.0
5.4.15 <= Vite < 6.0.0
4.5.10 <= Vite < 5.0.0


下载链接:https://github.com/vitejs/vite/releases/


3.2 暂时步伐


暂无。


3.3 通用建议


? 按期更新系统补丁,镌汰系统误差,提升服务器的清静性。
增强系统和网络的会见控制,修改防火墙战略,关闭非须要的应用端口或服务,镌汰将危险服务(如SSH、RDP等)袒露到公网,镌汰攻击面。
使用企业级清静产品,提升企业的网络清静性能。
增强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应坚持在最低限度。
启用强密码战略并设置为按期修改。


3.4 参考链接


https://github.com/vitejs/vite/security/advisories/GHSA-x574-m823-4x7w
https://nvd.nist.gov/vuln/detail/CVE-2025-30208