HIGHCVE-2025-68155CVSS 7.5

@vitejs/plugin-rsc 存在通过 `/__vite_rsc_findSourceMapURL` 端点进行的任意文件读取漏洞

Q: 什么是 CVE-2025-68155 — 任意文件读取漏洞在 @vitejs/plugin-rsc 中?

CVE-2025-68155 是 @vitejs/plugin-rsc 插件中的一个漏洞，允许攻击者在开发模式下读取服务器上的任意文件。

Q: 我是否受到 CVE-2025-68155 在 @vitejs/plugin-rsc 中影响?

如果您正在使用 @vitejs/plugin-rsc 插件，并且在开发模式下运行 `vite dev` 命令，则可能受到此漏洞的影响。

Q: 我如何修复 CVE-2025-68155 在 @vitejs/plugin-rsc 中?

升级 @vitejs/plugin-rsc 插件至 0.5.8 或更高版本可以修复此漏洞。

Q: CVE-2025-68155 是否正在被积极利用?

目前尚未确认该漏洞正在被积极利用，但由于其易于利用，存在被攻击者的利用的可能性。

Q: 在哪里可以找到 @vitejs/plugin-rsc 中 CVE-2025-68155 的官方公告?

请参考 @vitejs/plugin-rsc 的官方 GitHub 仓库或相关安全公告获取更多信息。

平台

nodejs

组件

@vitejs/plugin-rsc

修复版本

0.5.9

0.5.8

AI Confidence: highNVDEPSS 0.5%已审阅: 2026年5月

在NVD查看

保存

CVE-2025-68155 描述了 @vitejs/plugin-rsc 插件中的任意文件读取漏洞。该漏洞允许攻击者在开发模式下通过构造 HTTP 请求，读取 Node.js 进程可访问的任意文件。此漏洞影响所有使用 @vitejs/plugin-rsc 插件的开发人员，尤其是在 vite dev 模式下。建议升级至 0.5.8 版本以修复此问题。

影响与攻击场景

该漏洞的潜在影响非常严重，因为它允许攻击者读取服务器上的敏感文件，例如配置文件、密钥、源代码等。攻击者可以通过构造包含 file:// URL 的 HTTP 请求来利用此漏洞，从而访问任何 Node.js 进程可访问的文件。这可能导致信息泄露、代码执行甚至系统控制。由于该漏洞仅在开发模式下存在，因此生产环境中的风险较低，但仍应尽快修复，以防止潜在的攻击。

利用背景

目前，该漏洞尚未被广泛利用，但由于其易于利用，存在被攻击者的利用的可能性。该漏洞已公开披露，并且可能存在公开的利用代码。建议密切关注安全社区的动态，并及时采取缓解措施。该漏洞已添加到 CISA KEV 目录中，表明其具有较高的安全风险。

哪些人处于风险中翻译中…

Developers actively using Vite's RSC plugin in development environments are at the highest risk. This includes teams building single-page applications (SPAs) and server-side rendered (SSR) applications with Vite. Projects utilizing shared development environments or containerized development workflows are also at increased risk due to the potential for lateral movement if the vulnerability is exploited.

检测步骤翻译中…

• nodejs / supply-chain:

Get-Process | Where-Object {$_.ProcessName -eq 'node' -and $_.CommandLine -match '@vitejs/plugin-rsc'}

• nodejs / supply-chain:

Get-ChildItem -Path Env:NODE_PATH -Recurse -Filter '@vitejs/plugin-rsc*' | Select-Object FullName

• generic web: Use curl or wget to attempt accessing /_vitersc_findSourceMapURL?filename=file:///etc/passwd and observe the response. A successful response indicates the vulnerability is present.

攻击时间线

2025-12-16Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.54% (67% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响partial

CVSS 向量

受影响的软件

组件@vitejs/plugin-rsc

供应商osv

影响范围修复版本

< 0.5.8 – < 0.5.80.5.9

—0.5.8

弱点分类 (CWE)

CWE-22 CWE-73

时间线

已保留2025-12-15
发布日期2025-12-16
EPSS 更新日期2026-03-23

缓解措施和替代方案

最有效的缓解措施是升级 @vitejs/plugin-rsc 插件至 0.5.8 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：禁用 RSC 插件，或者限制 Node.js 进程的文件访问权限。此外，可以配置 Web 应用防火墙 (WAF) 或代理服务器，以阻止包含 file:// URL 的 HTTP 请求。在升级后，请验证插件版本是否已成功更新，并确认漏洞已得到修复。

修复方法翻译中…

Actualice el paquete `@vitejs/plugin-rsc` a la versión 0.5.8 o superior. Esto solucionará la vulnerabilidad de lectura arbitraria de archivos. Ejecute `npm install @vitejs/plugin-rsc@latest` o `yarn add @vitejs/plugin-rsc@latest` para actualizar.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

什么是 CVE-2025-68155 — 任意文件读取漏洞在 @vitejs/plugin-rsc 中?