2025年3月27日,网上更新披露了Vite 任意文件读取漏洞(CVE-2025-30208)。
漏洞描述:该漏洞源于 Vite 开发服务器在处理特定 URL 请求时,没有对请求的路径进行严格的安全检查和限制,导致攻击者可以绕过保护机制,非法访问项目根目录外的敏感文件。
影响范围:
6.2.0 <= Vite <= 6.2.2
6.1.0 <= Vite <= 6.1.1
6.0.0 <= Vite <= 6.0.11
5.0.0 <= Vite <= 5.4.14
Vite <= 4.5.9
风险等级:高危
修复方案:
建议您更新升级补丁至最新版以修复漏洞。
进行安全更新方法:
https://github.com/vitejs/vite/releases
修复缓解措施:
通过限制开发服务器的访问权限,如关闭 server.host 或将其绑定到特定的 IP 地址,以减少攻击面。
