通告编号:NS-2025-0023
| TAG: | Vite、任意文件读取 |
| 漏洞危害: | 攻击者利用此漏洞,可实现任意文件读取。 |
| 版本: | 1.0 |
1 漏洞概述
Vite是一个现代化的前端开发与构建工具,提供极速的开发服务器启动速度和高效的热更新机制,支持多框架开发,如Vue、React等。因其出色的性能和丰富的插件生态,成为前端开发领域的热门选择。
绿盟科技发现并向官方提交了此漏洞:
参考链接:
https://github.com/vitejs/vite/security/advisories/GHSA-356w-63v5-8wf4
2 影响范围
- 6.2.0 <= Vite <= 6.2.5
- 6.1.0 <= Vite <= 6.1.4
- 6.0.0 <= Vite <= 6.0.14
- 5.0.0 <= Vite <= 5.4.17
- Vite <= 4.5.12
注:影响将Vite开发服务器暴露到网络(启用–host或配置server.host)且在非Deno(例如Node、Bun)上运行的应用。
不受影响版本
- Vite >= 6.2.6
- 6.1.5 <= Vite < 6.2.0
- 6.0.15 <= Vite < 6.1.0
- 5.4.18 <= Vite < 6.0.0
- 4.5.13 <= Vite < 5.0.0
3 漏洞检测
3.1 人工检测
相关用户可通过查看当前Vite版本是否在受影响范围,对当前服务是否受此漏洞影响进行排查。
通过npm全局安装的可使用下列命令进行查看:
也可在终端命令行直接运行vite -v命令查看:
4 暴露面风险排查
4.1 云端检测
绿盟科技外部攻击面管理服务(EASM)支持上述漏洞风险的互联网资产排查,目前已帮助服务客户群体完成了暴露面排查与风险验证,在威胁发生前及时进行漏洞预警与闭环处置。
感兴趣的客户可通过联系绿盟当地区域同事或发送邮件至rs@nsfocus.com安排详细的咨询交流。
绿盟科技CTEM解决方案可以支持主动进行Vite相关资产和漏洞风险的发现和排查:
用户使用外部攻击面发现功能将上述漏洞线索同步至云端,通过资产测绘的方式获取目标单位的受影响资产。
通过指纹识别或PoC扫描进行测绘:
5 漏洞防护
5.1 官方升级
目前官方已发布新版本修复此漏洞,请受影响的用户尽快升级防护,下载链接:https://github.com/vitejs/vite/releases
5.2 临时防护措施
若相关用户暂时无法进行升级操作,可在不影响业务的前提下,通过对Vite开发服务器进行访问限制来临时缓解。
END
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。