प्लेटफ़ॉर्म
nodejs
घटक
vite
में ठीक किया गया
5.4.21
6.0.1
7.0.1
7.1.1
7.1.5
CVE-2025-58751 Vite में एक फ़ाइल सर्विंग भेद्यता है। यह भेद्यता हमलावरों को सार्वजनिक निर्देशिका में सिंबोलिंक के माध्यम से अनधिकृत फ़ाइलों को परोसने की अनुमति दे सकती है। यह भेद्यता Vite के संस्करणों को प्रभावित करती है जो 7.1.5 से कम हैं। Vite 7.1.5 या बाद के संस्करण में अपडेट करके इस समस्या का समाधान किया जा सकता है।
यह भेद्यता तब उत्पन्न होती है जब Vite विकास सर्वर को नेटवर्क पर उजागर किया जाता है (उदाहरण के लिए, --host विकल्प या server.host कॉन्फ़िगरेशन विकल्प का उपयोग करके) और सार्वजनिक निर्देशिका सुविधा सक्षम है। यदि सार्वजनिक निर्देशिका में एक सिंबोलिंक मौजूद है, तो हमलावर इस सिंबोलिंक का उपयोग करके सर्वर से मनमानी फ़ाइलें परोस सकते हैं। इससे संवेदनशील जानकारी का खुलासा हो सकता है या हमलावर दुर्भावनापूर्ण सामग्री परोस सकते हैं, जिससे उपयोगकर्ताओं को नुकसान हो सकता है। इस भेद्यता का प्रभाव उन अनुप्रयोगों पर पड़ता है जो सार्वजनिक निर्देशिका सुविधा का उपयोग करते हैं और जहां विकास सर्वर को नेटवर्क पर उजागर किया गया है।
यह भेद्यता अभी तक KEV में सूचीबद्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण इसका शोषण किया जा सकता है। NVD और CISA ने इस CVE के लिए तारीखें जारी की हैं: प्रकाशित: 2025-09-09।
Development teams using Vite with the public directory feature enabled and the Vite development server exposed to the network are at risk. This includes projects utilizing symlinks within the public directory, particularly those with less stringent security practices or those running in shared hosting environments where symlink creation might be easier.
• nodejs / server:
find /path/to/vite/public -type l -print # Check for symlinks in the public directory• nodejs / server:
ps aux | grep 'vite --host' # Check for Vite dev server exposed to the network• generic web:
Inspect the Vite configuration file (vite.config.js) for the server.host option. Ensure it is not set to '0.0.0.0' or a public IP address.
disclosure
एक्सप्लॉइट स्थिति
EPSS
1.42% (80% शतमक)
CISA SSVC
इस भेद्यता को कम करने के लिए, Vite को संस्करण 7.1.5 या बाद के संस्करण में अपडेट करना सबसे प्रभावी तरीका है। यदि अपडेट करना संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके सार्वजनिक निर्देशिका में सिंबोलिंक के माध्यम से फ़ाइलें परोसने से रोकने के लिए नियम कॉन्फ़िगर किए जा सकते हैं। इसके अतिरिक्त, सुनिश्चित करें कि Vite विकास सर्वर को केवल विश्वसनीय नेटवर्क पर ही उजागर किया गया है और सार्वजनिक रूप से सुलभ नहीं है। सिंबोलिंक के उपयोग को सीमित करना भी एक निवारक उपाय हो सकता है। अपडेट के बाद, यह सत्यापित करें कि फ़ाइलें अपेक्षित रूप से परोसी जा रही हैं और अनधिकृत फ़ाइलें सुलभ नहीं हैं।
Vite को संस्करण 5.4.20, 6.3.6, 7.0.7 या 7.1.5 में अपडेट करें, या बाद के संस्करण में। यह असुरक्षित रूप से सार्वजनिक डायरेक्टरी से फ़ाइलें परोसने की अनुमति देने वाले भेद्यता को ठीक करता है। सुनिश्चित करें कि आप उचित सावधानी बरतें बिना Vite विकास सर्वर को नेटवर्क पर उजागर न करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2025-58751 Vite में एक भेद्यता है जो हमलावरों को सार्वजनिक निर्देशिका में सिंबोलिंक के माध्यम से अनधिकृत फ़ाइलें परोसने की अनुमति देती है।
यदि आप Vite के संस्करण 7.1.5 से कम का उपयोग कर रहे हैं और सार्वजनिक निर्देशिका सुविधा सक्षम है, तो आप प्रभावित हो सकते हैं।
Vite को संस्करण 7.1.5 या बाद के संस्करण में अपडेट करें। यदि अपडेट करना संभव नहीं है, तो WAF नियमों का उपयोग करें।
अभी तक सक्रिय शोषण की कोई पुष्टि नहीं हुई है, लेकिन भेद्यता की प्रकृति के कारण इसका शोषण किया जा सकता है।
Vite टीम की आधिकारिक वेबसाइट या GitHub रिपॉजिटरी पर जाएँ।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।