Vite任意文件读取漏洞 (CVE-2025-31125)

阅读: 69

一、基础知识概述

近日,绿盟科技CERT监测向Vite发布安全公告,修复了Vite任何读取文件漏洞(CVE-2025-31125);由于Vite开发服务器在处理URL请求时未对路径进行严格验证,身份验证的攻击者可以通过构造特殊的URL绕过路径访问限制,从而读取目标服务器上的任何文件。目前漏洞与PoC已开放,请相关用户加强采取措施进行防护。

Vite是一款现代化的前端开发与构建工具,提供极速的开发服务器启动速度和热更新机制,支持多框架开发,如Vue、React等。完善的性能和丰富的插件生态,成为前端开发领域的热门选择。

绿盟科技已成功修复此漏洞:

參考文獻:

https://github.com/vitejs/vite/security/advisories/GHSA-4r4m-qw57-chr8

 

二、影响范围

旅行版本

  • 2.0 <= Vite <= 6.2.3
  • 1.0 <= Vite <= 6.1.2
  • 0.0 <= Vite <= 6.0.12
  • 0.0 <= Vite <= 5.4.15
  • Vite <= 4.5.10

注:影响将Vite开发服务器暴露到网络(启用–host或配置server.host)的应用。

 

不旅行版本

  • Vite >= 6.2.4
  • 1.3 <= Vite < 6.2.0
  • 0.13 <= Vite < 6.1.0
  • 4.16 <= Vite < 6.0.0
  • 5.11 <= Vite < 5.0.0

三、业绩检测

  • 人工检测

相关用户可通过查看当前Vite版本是否在最新范围,对当前服务是否受此漏洞影响进行排查。

通过npm全局安装的可以使用以下命令进行查看:

也可以在终端命令行直接运行vite -v命令查看:

  • 专家

绿盟科技自动化渗透测试工具(EZ)已支持Vite的指纹识别和CVE-2025-31125漏洞风险检测(注:企业版请联系绿盟销售人员获取)。

用户可使用以下命令进行漏洞检测:

./ez webscan –pocs vite -u https:192.168.1.41:443/

工具下载链接:https://github.com/m-sec-org/EZ/releases

新用户请注册M-SEC社区(https://msec.nsfocus.com)申请证书进行使用:

注:社区版本将于近期发布上述功能

 

  • 产品检测

绿盟科技远程安全评估系统(RSAS)与网络入侵检测系统(IDS)已具备对此次漏洞的扫描与检测能力,请配置已配置以上设备的用户升级至最新版本。

升级包版本号 升级包下载链接
RSAS V6系统插件包 V6.0R02F01.3911 https://update.nsfocus.com/update/listRsasDetail/v/vulsys
隱私秘笈 5.6.10.39524 https://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.10
5.6.11.39524 https://update.nsfocus.com/update/listNewidsDetail/v/rule5.6.11

关于RSAS的升级配置指导,请参考以下链接:

https://mp.weixin.qq.com/s/SgOaCZeKrNn-4uR8Yj_C3Q

  1. 威胁举措
    • 云端检测

绿盟科技外部攻击面管理服务(EASM)支持CVE-2025-31125漏洞风险的互联网资产排查,目前已帮助服务客户群体完成了暴露面排查与风险验证,在威胁发生前及时进行漏洞预警与闭环执行。

感兴趣的客户可通过联系绿盟当地区域同事或发送邮件至rs@nsfocus.com安排详细的咨询交流。

  • 本地排查

绿盟科技CTEM解决方案可以支持主动进行Vite相关资产和CVE-2025-31125漏洞的风险发现和排查:

用户利用外部攻击面发现功能将CVE-2025-31125漏洞线索同步至暴涨,通过资产测绘的方式获取目标单位的旅行资产。

通过指纹识别或PoC扫描进行测绘:

支持使用普遍漏洞扫描设备:

 

 

五、注意事项

  • 官方升级
  • 目前官方已发布新版本修复此漏洞,请广大用户的加速升级防护,下载链接:https://github.com/vitejs/vite/releases
  • 产品防护

针对上述漏洞,绿盟科技Web应用防护系统(WAF)、网络入侵防护系统(IPS)与综合威胁标记(UTS)已发布规则升级包,请相关用户升级规则包至最新版本,以形成安全产品防护与能力。安全防护产品规则监测编号如下:

 

安全防护产品 升级包版本号 升级包下载链接 规则编号
网页应用防火墙 6.0.7.0.70863 https://update.nsfocus.com/update/listWafSpecialDetail/v/all 27006003
6.0.7.3.70863 https://update.nsfocus.com/update/listWafV67Detail/v/rule6070
6.0.8.1.70863 https://update.nsfocus.com/update/listWafV68Detail/v/rule
騙者系統 5.6.10.39524 https://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.10 [32020]
5.6.11.39524 https://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.11
2.0.0.39524 https://update.nsfocus.com/update/listNewipsDetail/v/rule5.6.11_v2
悉尼科技大学 2.0.0.39524 https://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.1 [32020]
5.6.10.39524 https://update.nsfocus.com/update/listBsaUtsDetail/v/rule2.0.0

产品规则升级的操作步骤如下链接:

WAF:https://mp.weixin.qq.com/s/7F8WCzWsuJ5T2E9e01wNog

攻击防御:https://mp.weixin.qq.com/s/DxQ3aaap8aujqZf-3VbNJg

 

  • 临时防护措施

若相关用户暂时无法进行升级操作,可在不影响业务的前提下,通过对Vite开发服务器进行访问限制来临时缓解。

声明

本安全公告仅用于可能存在的安全问题,绿盟科技不因此提供任何安全保证或承诺。因传播、本安全公告所提供的信息而造成的任何直接利用公告或者相关的后果及损失,均由用户本人负责,绿盟科技以及安全公告作者不承担因此的任何责任。

绿盟科技拥有此安全的和解释权。如欲转载或传播此安全公告,必须保证此安全公告的版权,包括版权公告等全部内容。默认绿盟科技允许修改,不得任意或减少此公告方式的安全内容,不得以任何方式将其用于其商业目的。

Spread the word. Share this post!

Meet The Author