Vite 安全绕过漏洞风险通告CVE-2025-30208
尊敬的芒竹云用户,您好!
芒竹云安全中心监测到, Vite 被披露其存在安全绕过漏洞,漏洞编号CVE-2025-30208。可导致远程攻击者绕过保护机制读取系统任意文件等危害。
为避免您的业务受影响,芒竹云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
漏洞详情
Vite 是一个基于原生 ES 模块的极速前端构建工具,支持快速启动、按需编译和热更新,专为现代前端框架(如 Vue、React)设计。
据官方描述,在 Vite 开发服务器中,当启用 --host 或配置 server.host,即暴露到公网上时,攻击者可通过构造特殊的 URL(如 ?raw?? 或 ?import&raw??)绕过 @fs 路径访问限制,从而读取服务器上的任意文件(如 /etc/passwd、项目外的敏感配置文件等)。
目前该漏洞的POC已公开。
风险等级
高风险
漏洞风险
远程攻击者利用该漏洞可绕过保护机制读取系统任意文件等危害。
影响版本
6.2.0 <= Vite <= 6.2.2
6.1.0 <= Vite <= 6.1.1
6.0.0 <= Vite <= 6.0.11
5.0.0 <= Vite <= 5.4.14
Vite <= 4.5.9
6.1.0 <= Vite <= 6.1.1
6.0.0 <= Vite <= 6.0.11
5.0.0 <= Vite <= 5.4.14
Vite <= 4.5.9
安全版本
Vite >= 6.2.3
Vite >= 6.1.2
Vite >= 6.0.12
Vite >= 5.4.15
Vite >= 4.5.10
Vite >= 6.1.2
Vite >= 6.0.12
Vite >= 5.4.15
Vite >= 4.5.10
修复建议
1. 官方已发布漏洞补丁及修复版本,请评估业务是否受影响后,升级至安全版本
https://github.com/vitejs/vite/releases
2. 缓解措施:
如非必要,不对公网开放 Vite 开发服务器的访问权限。
https://github.com/vitejs/vite/releases
2. 缓解措施:
如非必要,不对公网开放 Vite 开发服务器的访问权限。
【备注】:建议您在升级前做好数据备份工作,避免出现意外
漏洞参考
https://github.com/vitejs/vite/security/advisories/GHSA-x574-m823-4x7w
https://nvd.nist.gov/vuln/detail/CVE-2025-30208