LOWCVE-2025-58751CVSS 2.5

Vite ミドルウェアは、同じ名前で始まるファイルをpublicディレクトリから提供する可能性がある

Q: CVE-2025-58751 — 公開ディレクトリの脆弱性 Viteとは何ですか？

CVE-2025-58751は、Vite開発サーバーをネットワークに公開している際に、シンボリックリンクを悪用して意図しないファイルが公開される脆弱性です。

Q: CVE-2025-58751 — 脆弱性 Viteで影響を受けますか？

Vite開発サーバーをネットワークに公開し、かつ、公開ディレクトリ内にシンボリックリンクが存在する場合に影響を受けます。Vite 7.1.5より前のバージョンを使用している場合は、影響を受ける可能性があります。

Q: CVE-2025-58751 — 脆弱性 Viteを修正するにはどうすればよいですか？

Vite 7.1.5へのアップデートが推奨されます。アップデートできない場合は、Vite開発サーバーをネットワークに公開しないように設定を変更してください。

Q: CVE-2025-58751 — 脆弱性 Viteに関する公式Viteの告知はどこで確認できますか？

Viteの公式リポジトリまたはウェブサイトで、CVE-2025-58751に関する告知をご確認ください。

プラットフォーム

nodejs

コンポーネント

vite

修正版

5.4.21

6.0.1

7.0.1

7.1.1

7.1.5

AI Confidence: highNVDEPSS 1.4%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-58751は、Viteにおける公開ディレクトリの脆弱性です。この脆弱性は、Vite開発サーバーがネットワークに公開され、かつ、公開ディレクトリ内にシンボリックリンクが存在する場合に、意図しないファイルが公開される可能性があります。影響を受けるバージョンはVite 7.1.5より前です。Vite 7.1.5へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性は、Vite開発サーバーをネットワークに公開しているアプリケーションに影響を与えます。攻撃者は、公開ディレクトリ内にシンボリックリンクを作成することで、本来公開されるべきでないファイル（例えば、ソースコード、設定ファイル、機密情報など）にアクセスできる可能性があります。特に、Viteのserver.fs設定をバイパスし、意図しないファイルが公開されるリスクがあります。この脆弱性の悪用により、機密情報の漏洩や、さらなる攻撃への足掛かりとなる可能性があります。

悪用の状況

この脆弱性は、2025年9月9日に公開されました。現時点では、公開されているPoCは確認されていませんが、Vite開発サーバーをネットワークに公開している環境では、攻撃を受けるリスクがあります。CISA KEVカタログへの登録状況は不明です。

リスク対象者翻訳中…

Development teams using Vite with the public directory feature enabled and the Vite development server exposed to the network are at risk. This includes projects utilizing symlinks within the public directory, particularly those with less stringent security practices or those running in shared hosting environments where symlink creation might be easier.

検出手順翻訳中…

• nodejs / server:

find /path/to/vite/public -type l -print # Check for symlinks in the public directory

• nodejs / server:

ps aux | grep 'vite --host' # Check for Vite dev server exposed to the network

• generic web: Inspect the Vite configuration file (vite.config.js) for the server.host option. Ensure it is not set to '0.0.0.0' or a public IP address.

攻撃タイムライン

2025-09-09Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

1.42% (80% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントvite

ベンダーosv

影響範囲修正版

< 5.4.20 – < 5.4.205.4.21

>= 6.0.0, < 6.3.6 – >= 6.0.0, < 6.3.66.0.1

>= 7.0.0, < 7.0.7 – >= 7.0.0, < 7.0.77.0.1

>= 7.1.0, < 7.1.5 – >= 7.1.0, < 7.1.57.1.1

7.1.07.1.5

弱点分類 (CWE)

CWE-22 CWE-200 CWE-284

タイムライン

予約済み2025-09-04
公開日2025-09-09
更新日2026-02-04
EPSS 更新日2026-03-23

公開後-1日でパッチ適用

緩和策と回避策

Vite 7.1.5へのアップデートが最も効果的な対策です。アップデートできない場合は、Vite開発サーバーをネットワークに公開しないように設定を変更してください（--hostオプションやserver.host設定の無効化）。また、公開ディレクトリ内にシンボリックリンクが存在しないことを確認してください。WAFやプロキシサーバーの設定で、不正なファイルアクセスを検知・遮断するルールを実装することも有効です。

修正方法

Vite をバージョン 5.4.20、6.3.6、7.0.7、または 7.1.5 以降にアップデートしてください。これにより、publicディレクトリからファイルを安全でない方法で提供できる脆弱性が修正されます。Viteの開発サーバーを適切な注意を払わずにネットワークに公開しないようにしてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-58751 — 公開ディレクトリの脆弱性 Viteとは何ですか？