Plateforme
nodejs
Composant
vite
Corrigé dans
5.4.21
6.0.1
7.0.1
7.1.1
7.1.5
La vulnérabilité CVE-2025-58751 concerne Vite, un outil de construction frontend. Elle permet à des fichiers, via des liens symboliques dans le répertoire public, d'être servis en contournant les paramètres de configuration server.fs. Cette faille affecte les versions de Vite antérieures à 7.1.5 et nécessite que le serveur de développement Vite soit exposé au réseau et que la fonctionnalité du répertoire public soit activée.
Cette vulnérabilité permet à un attaquant d'accéder à des fichiers sensibles situés en dehors du répertoire public, à condition que des liens symboliques existent dans ce répertoire. Un attaquant pourrait exploiter cette faille en créant un lien symbolique pointant vers des fichiers critiques du système de fichiers, tels que des fichiers de configuration, des clés privées ou des données sensibles. L'impact est limité aux applications qui exposent explicitement le serveur de développement Vite au réseau et utilisent le répertoire public, mais la divulgation de fichiers sensibles peut compromettre la sécurité de l'application et du serveur.
Cette vulnérabilité n'est pas encore répertoriée sur KEV. Son score CVSS de 2.5 indique une faible probabilité d'exploitation. Aucune preuve d'exploitation active n'est actuellement disponible. La vulnérabilité a été publiée le 2025-09-09.
Development teams using Vite with the public directory feature enabled and the Vite development server exposed to the network are at risk. This includes projects utilizing symlinks within the public directory, particularly those with less stringent security practices or those running in shared hosting environments where symlink creation might be easier.
• nodejs / server:
find /path/to/vite/public -type l -print # Check for symlinks in the public directory• nodejs / server:
ps aux | grep 'vite --host' # Check for Vite dev server exposed to the network• generic web:
Inspect the Vite configuration file (vite.config.js) for the server.host option. Ensure it is not set to '0.0.0.0' or a public IP address.
disclosure
Statut de l'Exploit
EPSS
1.42% (percentile 80%)
CISA SSVC
La mitigation principale consiste à mettre à jour Vite vers la version 7.1.5 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de désactiver l'exposition du serveur de développement Vite au réseau en évitant l'utilisation des options --host ou server.host dans la configuration. De plus, il est crucial de vérifier et de supprimer tous les liens symboliques inutiles ou suspects dans le répertoire public. Une analyse régulière du répertoire public est conseillée pour détecter d'éventuels liens symboliques malveillants. Après la mise à jour, vérifiez l'intégrité du répertoire public et assurez-vous qu'aucun lien symbolique non autorisé n'est présent.
Mettez à jour Vite à la version 5.4.20, 6.3.6, 7.0.7 ou 7.1.5, ou à une version ultérieure. Cela corrige la vulnérabilité qui permet de servir des fichiers à partir du répertoire public de manière non sécurisée. Assurez-vous de ne pas exposer le serveur de développement de Vite au réseau sans les précautions nécessaires.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-58751 is a directory traversal vulnerability in Vite affecting versions before 7.1.5. It allows attackers to access files outside the intended public directory if the Vite dev server is exposed and symlinks are present.
You are affected if you are using Vite versions prior to 7.1.5, have the public directory feature enabled, and your Vite development server is accessible over the network with symlinks in the public directory.
Upgrade to Vite version 7.1.5 or later. As a temporary workaround, disable the public directory feature by removing any symlinks within the public directory.
Active exploitation is not currently confirmed, but the vulnerability's ease of exploitation warrants attention and proactive mitigation.
Refer to the Vite project's official security advisories and release notes on their GitHub repository: https://github.com/vitejs/vite
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.