2025-04-11 15:18 上海
检测业务是否受到此漏洞影响,请联系长亭应急服务团队!
Vite 是一个现代化的前端构建工具,旨在提供快速的开发服务器和优化的构建流程,广泛用于开发 JavaScript 和 TypeScript 的 Web 应用程序。
2025 年 4 月,Vite 官方发布安全补丁,修复了一个任意文件读取漏洞(CVE-2025-32395)。该漏洞允许攻击者通过构造特殊 URL 绕过 Vite 的文件访问限制,读取服务器上的任意文件内容。虽然该漏洞的利用需要特定的服务器配置,但由于许多流行前端框架集成了 Vite,其潜在影响范围极广,建议受影响的用户立即修复该漏洞。
漏洞成因
Vite 开发服务器需通过 --host 或 server.host 配置选项暴露到网络(默认仅限本地访问)。
任意文件读取:攻击者可读取服务器上的敏感文件(如配置文件、密钥文件等),可能导致凭据泄露或其他安全风险。
处置优先级:高
漏洞类型:逻辑漏洞
漏洞危害等级:高
触发方式:网络远程
权限认证要求:无需权限
系统配置要求:非默认配置,需将 Vite 开发服务器暴露到互联网上
用户交互要求:无需用户交互
利用成熟度:POC/EXP 已公开
修复复杂度:低,官方提供升级修复方案
6.2.0 <= vite < 6.2.6
6.1.0 <= vite < 6.1.5
6.0.0 <= vite < 6.0.15
5.0.0 <= vite < 5.4.18
vite < 4.5.13
如果暂时无法升级,可以采取以下措施降低风险:
1. 限制网络访问:将 --host 或 server.host 设置为 localhost,确保开发服务器仅限本地访问。
2. 严格文件权限:确保敏感文件不可被 Vite 进程读取(例如通过操作系统权限控制)。
Vite 官方已发布安全补丁,修复版本包括:
6.2.6、6.1.5、6.0.15、5.4.18、4.5.13
请尽快通过 npm update vite 或手动升级到以上版本以修复漏洞。
云图:默认支持该产品的指纹识别,同时支持该漏洞的原理PoC检测
洞鉴:预计4.14发布更新支持该漏洞检测
雷池:默认支持漏洞利用行为检测
全悉:默认支持漏洞利用行为检测
4月10日 互联网公开披露该漏洞
4月11日 长亭应急安全实验室复现漏洞
4月11日 长亭安全应急响应中心发布通告
参考资料:
[1].https://github.com/advisories/GHSA-356w-63v5-8wf4
全力进行产品升级
及时将风险提示预案发送给客户
检测业务是否受到此次漏洞影响
请联系长亭应急服务团队
7*24小时,守护您的安全
第一时间找到我们: