CVE-2025-58751 是 Vite 中的一个目录遍历漏洞。攻击者可以通过利用符号链接,访问 Vite 开发服务器的敏感文件,即使这些文件通常受到 server.fs 设置的保护。此漏洞影响那些将 Vite 开发服务器暴露到网络上,并使用了公共目录功能的应用。建议升级至 Vite 7.1.5 或更高版本以修复此问题。
此漏洞的影响取决于 Vite 开发服务器是否暴露在网络上。如果服务器暴露,攻击者可以通过创建或利用现有的符号链接,访问服务器文件系统中的任何文件,包括配置文件、源代码和其他敏感数据。攻击者可能能够获取凭据、泄露商业机密或篡改应用程序的行为。由于 Vite 通常用于开发环境,因此此漏洞可能不会直接影响生产环境,但仍然存在潜在的安全风险,尤其是在开发环境与生产环境共享代码库或服务器的情况下。此漏洞的严重程度取决于暴露的文件的敏感程度以及攻击者对服务器的访问权限。
此漏洞已公开披露,并且可能存在公开的利用代码。目前尚无关于此漏洞被积极利用的报告,但由于其易于利用,因此建议尽快采取缓解措施。该漏洞已添加到 CISA KEV 目录中,表明其具有潜在的风险。请密切关注安全社区的更新,以获取有关此漏洞的更多信息。
Development teams using Vite with the public directory feature enabled and the Vite development server exposed to the network are at risk. This includes projects utilizing symlinks within the public directory, particularly those with less stringent security practices or those running in shared hosting environments where symlink creation might be easier.
• nodejs / server:
find /path/to/vite/public -type l -print # Check for symlinks in the public directory• nodejs / server:
ps aux | grep 'vite --host' # Check for Vite dev server exposed to the network• generic web:
Inspect the Vite configuration file (vite.config.js) for the server.host option. Ensure it is not set to '0.0.0.0' or a public IP address.
disclosure
漏洞利用状态
EPSS
1.42% (80% 百分位)
CISA SSVC
最有效的缓解措施是升级至 Vite 7.1.5 或更高版本,该版本修复了此漏洞。如果无法立即升级,可以考虑以下临时缓解措施:首先,确保 Vite 开发服务器没有暴露到网络上,避免使用 --host 选项或 server.host 配置。其次,禁用公共目录功能,如果应用程序不需要使用此功能。第三,审查服务器文件系统中的符号链接,删除任何不必要的或可疑的链接。最后,实施严格的访问控制策略,限制对服务器文件系统的访问权限。
将 Vite 更新到版本 5.4.20、6.3.6、7.0.7 或 7.1.5,或更高版本。这修复了允许以不安全方式提供公共目录中文件的漏洞。请确保在采取适当预防措施之前不要将 Vite 开发服务器暴露到网络上。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-58751 是 Vite 7.1.5 之前的版本中发现的一个目录遍历漏洞,攻击者可以通过符号链接访问敏感文件。
如果您使用了 Vite 7.1.5 之前的版本,并且将 Vite 开发服务器暴露到网络上,同时使用了公共目录功能,则可能受到影响。
升级至 Vite 7.1.5 或更高版本以修复此漏洞。
目前尚无关于此漏洞被积极利用的报告,但由于其易于利用,建议尽快采取缓解措施。
请访问 Vite 的官方 GitHub 仓库或官方网站,查找有关此漏洞的公告和修复信息。