LOWCVE-2025-58751CVSS 2.5

Vite middleware सार्वजनिक डायरेक्टरी से समान नाम वाली फ़ाइलें परोस सकता है

Q: CVE-2025-58751 — फ़ाइल सर्विंग भेद्यता Vite में क्या है?

CVE-2025-58751 Vite में एक भेद्यता है जो हमलावरों को सार्वजनिक निर्देशिका में सिंबोलिंक के माध्यम से अनधिकृत फ़ाइलें परोसने की अनुमति देती है।

Q: क्या मैं CVE-2025-58751 में Vite से प्रभावित हूं?

यदि आप Vite के संस्करण 7.1.5 से कम का उपयोग कर रहे हैं और सार्वजनिक निर्देशिका सुविधा सक्षम है, तो आप प्रभावित हो सकते हैं।

Q: मैं CVE-2025-58751 में Vite को कैसे ठीक करूं?

Vite को संस्करण 7.1.5 या बाद के संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो WAF नियमों का उपयोग करें।

Q: क्या CVE-2025-58751 सक्रिय रूप से शोषण किया जा रहा है?

अभी तक सक्रिय शोषण की कोई पुष्टि नहीं हुई है, लेकिन भेद्यता की प्रकृति के कारण इसका शोषण किया जा सकता है।

Q: मैं CVE-2025-58751 के लिए आधिकारिक Vite सलाहकार कहां पा सकता हूं?

Vite टीम की आधिकारिक वेबसाइट या GitHub रिपॉजिटरी पर जाएँ।

प्लेटफ़ॉर्म

nodejs

घटक

vite

में ठीक किया गया

5.4.21

6.0.1

7.0.1

7.1.1

7.1.5

AI Confidence: highNVDEPSS 1.4%समीक्षित: मई 2026

NVD पर देखें

सहेजें

CVE-2025-58751 Vite में एक फ़ाइल सर्विंग भेद्यता है। यह भेद्यता हमलावरों को सार्वजनिक निर्देशिका में सिंबोलिंक के माध्यम से अनधिकृत फ़ाइलों को परोसने की अनुमति दे सकती है। यह भेद्यता Vite के संस्करणों को प्रभावित करती है जो 7.1.5 से कम हैं। Vite 7.1.5 या बाद के संस्करण में अपडेट करके इस समस्या का समाधान किया जा सकता है।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता तब उत्पन्न होती है जब Vite विकास सर्वर को नेटवर्क पर उजागर किया जाता है (उदाहरण के लिए, --host विकल्प या server.host कॉन्फ़िगरेशन विकल्प का उपयोग करके) और सार्वजनिक निर्देशिका सुविधा सक्षम है। यदि सार्वजनिक निर्देशिका में एक सिंबोलिंक मौजूद है, तो हमलावर इस सिंबोलिंक का उपयोग करके सर्वर से मनमानी फ़ाइलें परोस सकते हैं। इससे संवेदनशील जानकारी का खुलासा हो सकता है या हमलावर दुर्भावनापूर्ण सामग्री परोस सकते हैं, जिससे उपयोगकर्ताओं को नुकसान हो सकता है। इस भेद्यता का प्रभाव उन अनुप्रयोगों पर पड़ता है जो सार्वजनिक निर्देशिका सुविधा का उपयोग करते हैं और जहां विकास सर्वर को नेटवर्क पर उजागर किया गया है।

शोषण संदर्भ

यह भेद्यता अभी तक KEV में सूचीबद्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण इसका शोषण किया जा सकता है। NVD और CISA ने इस CVE के लिए तारीखें जारी की हैं: प्रकाशित: 2025-09-09।

कौन जोखिम में हैअनुवाद हो रहा है…

Development teams using Vite with the public directory feature enabled and the Vite development server exposed to the network are at risk. This includes projects utilizing symlinks within the public directory, particularly those with less stringent security practices or those running in shared hosting environments where symlink creation might be easier.

पहचान के चरणअनुवाद हो रहा है…

• nodejs / server:

find /path/to/vite/public -type l -print # Check for symlinks in the public directory

• nodejs / server:

ps aux | grep 'vite --host' # Check for Vite dev server exposed to the network

• generic web: Inspect the Vite configuration file (vite.config.js) for the server.host option. Ensure it is not set to '0.0.0.0' or a public IP address.

हमले की समयरेखा

2025-09-09Disclosure
disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात

CISA KEVNO

रिपोर्ट1 खतरा रिपोर्ट

EPSS

1.42% (80% शतमक)

CISA SSVC

शोषणpoc

स्वचालनीयno

तकनीकी प्रभावpartial

प्रभावित सॉफ्टवेयर

घटकvite

विक्रेताosv

प्रभावित श्रेणीमें ठीक किया गया

< 5.4.20 – < 5.4.205.4.21

>= 6.0.0, < 6.3.6 – >= 6.0.0, < 6.3.66.0.1

>= 7.0.0, < 7.0.7 – >= 7.0.0, < 7.0.77.0.1

>= 7.1.0, < 7.1.5 – >= 7.1.0, < 7.1.57.1.1

7.1.07.1.5

पैकेज जानकारी

अंतिम अपडेट: 8.0.14हाल ही में

कमजोरी वर्गीकरण (CWE)

CWE-22 CWE-200 CWE-284

समयरेखा

आरक्षित2025-09-04
प्रकाशित2025-09-09
संशोधित2026-02-04
EPSS अद्यतन2026-03-23

प्रकाशन के -1 दिन बाद पैच

शमन और वर्कअराउंड

इस भेद्यता को कम करने के लिए, Vite को संस्करण 7.1.5 या बाद के संस्करण में अपडेट करना सबसे प्रभावी तरीका है। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके सार्वजनिक निर्देशिका में सिंबोलिंक के माध्यम से फ़ाइलें परोसने से रोकने के लिए नियम कॉन्फ़िगर किए जा सकते हैं। इसके अतिरिक्त, सुनिश्चित करें कि Vite विकास सर्वर को केवल विश्वसनीय नेटवर्क पर ही उजागर किया गया है और सार्वजनिक रूप से सुलभ नहीं है। सिंबोलिंक के उपयोग को सीमित करना भी एक निवारक उपाय हो सकता है। अपडेट के बाद, यह सत्यापित करें कि फ़ाइलें अपेक्षित रूप से परोसी जा रही हैं और अनधिकृत फ़ाइलें सुलभ नहीं हैं।

कैसे ठीक करें

Vite को संस्करण 5.4.20, 6.3.6, 7.0.7 या 7.1.5 में अपडेट करें, या बाद के संस्करण में। यह असुरक्षित रूप से सार्वजनिक डायरेक्टरी से फ़ाइलें परोसने की अनुमति देने वाले भेद्यता को ठीक करता है। सुनिश्चित करें कि आप उचित सावधानी बरतें बिना Vite विकास सर्वर को नेटवर्क पर उजागर न करें।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2025-58751 — फ़ाइल सर्विंग भेद्यता Vite में क्या है?

CVE-2025-58751 Vite में एक भेद्यता है जो हमलावरों को सार्वजनिक निर्देशिका में सिंबोलिंक के माध्यम से अनधिकृत फ़ाइलें परोसने की अनुमति देती है।

क्या मैं CVE-2025-58751 में Vite से प्रभावित हूं?

यदि आप Vite के संस्करण 7.1.5 से कम का उपयोग कर रहे हैं और सार्वजनिक निर्देशिका सुविधा सक्षम है, तो आप प्रभावित हो सकते हैं।

मैं CVE-2025-58751 में Vite को कैसे ठीक करूं?

Vite को संस्करण 7.1.5 या बाद के संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो WAF नियमों का उपयोग करें।

क्या CVE-2025-58751 सक्रिय रूप से शोषण किया जा रहा है?

अभी तक सक्रिय शोषण की कोई पुष्टि नहीं हुई है, लेकिन भेद्यता की प्रकृति के कारण इसका शोषण किया जा सकता है।

मैं CVE-2025-58751 के लिए आधिकारिक Vite सलाहकार कहां पा सकता हूं?

Vite टीम की आधिकारिक वेबसाइट या GitHub रिपॉजिटरी पर जाएँ।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करें CVE खोजें