Platform
nodejs
Component
vite
Opgelost in
5.4.21
6.0.1
7.0.1
7.1.1
7.1.5
CVE-2025-58751 beschrijft een Directory Traversal kwetsbaarheid in Vite, een build tool voor JavaScript-applicaties. Deze kwetsbaarheid stelt een aanvaller in staat om via symlinks bestanden buiten de bedoelde public directory te benaderen, wat potentieel gevoelige informatie kan blootleggen. De kwetsbaarheid treedt op in versies vóór 7.1.5 en is verholpen in deze versie.
De impact van deze kwetsbaarheid is afhankelijk van de configuratie van de Vite-applicatie. Om kwetsbaar te zijn, moet de Vite dev server expliciet toegankelijk zijn via het netwerk (bijvoorbeeld via --host of de server.host configuratieoptie) en de public directory feature moeten zijn ingeschakeld (standaard). Bovendien moet er een symlink aanwezig zijn in de public directory. Als deze voorwaarden voldaan zijn, kan een aanvaller via de symlink bestanden buiten de public directory benaderen, zoals configuratiebestanden, broncode of andere gevoelige gegevens die op de server staan. Dit kan leiden tot informatielekken en mogelijk tot verdere misbruik van het systeem.
Deze kwetsbaarheid is op 2025-09-09 openbaar gemaakt. Er zijn momenteel geen bekende actieve exploits of KEV-listings. Er zijn geen publieke proof-of-concept exploits beschikbaar. De kwetsbaarheid wordt beschouwd als LOW severity vanwege de specifieke omstandigheden die nodig zijn om deze te exploiteren.
Development teams using Vite with the public directory feature enabled and the Vite development server exposed to the network are at risk. This includes projects utilizing symlinks within the public directory, particularly those with less stringent security practices or those running in shared hosting environments where symlink creation might be easier.
• nodejs / server:
find /path/to/vite/public -type l -print # Check for symlinks in the public directory• nodejs / server:
ps aux | grep 'vite --host' # Check for Vite dev server exposed to the network• generic web:
Inspect the Vite configuration file (vite.config.js) for the server.host option. Ensure it is not set to '0.0.0.0' or a public IP address.
disclosure
Exploit Status
EPSS
1.42% (80% percentiel)
CISA SSVC
De primaire mitigatie is het upgraden naar Vite versie 7.1.5 of hoger. Als een upgrade momenteel niet mogelijk is, kan het beperken van de toegang tot de Vite dev server via het netwerk een tijdelijke oplossing bieden. Dit kan worden bereikt door de --host optie niet te gebruiken of de server.host configuratieoptie in te stellen op localhost. Daarnaast is het belangrijk om te controleren of er geen onnodige symlinks aanwezig zijn in de public directory. Na de upgrade, verifieer de fix door te proberen een bestand buiten de public directory te benaderen via een symlink; dit zou een foutmelding moeten opleveren.
Werk Vite bij naar versie 5.4.20, 6.3.6, 7.0.7 of 7.1.5, of een latere versie. Dit corrigeert de kwetsbaarheid die het mogelijk maakt om bestanden vanuit de public directory op een onveilige manier te serveren. Zorg ervoor dat u de Vite ontwikkelserver niet onbeschermd aan het netwerk exposeert.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2025-58751 is a directory traversal vulnerability in Vite affecting versions before 7.1.5. It allows attackers to access files outside the intended public directory if the Vite dev server is exposed and symlinks are present.
You are affected if you are using Vite versions prior to 7.1.5, have the public directory feature enabled, and your Vite development server is accessible over the network with symlinks in the public directory.
Upgrade to Vite version 7.1.5 or later. As a temporary workaround, disable the public directory feature by removing any symlinks within the public directory.
Active exploitation is not currently confirmed, but the vulnerability's ease of exploitation warrants attention and proactive mitigation.
Refer to the Vite project's official security advisories and release notes on their GitHub repository: https://github.com/vitejs/vite
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.