【已复现】Vite 任意文件读取漏洞(CVE-2025-31486)安全风险通告

主要观点总结

本文描述了一个名为Vite的任意文件读取漏洞（编号为QVD-2025-14036和CVE-2025-31486）的安全风险。该漏洞影响了Vite的多个版本，可能导致敏感信息的泄露。

关键观点总结

关键观点1: 漏洞概述

Vite是一款前端开发构建工具，近期发现的任意文件读取漏洞允许攻击者绕过保护机制，非法访问项目根目录外的敏感文件，可能导致源码、SSH密钥、数据库账号和用户数据等敏感信息泄露。

关键观点2: 影响范围

该漏洞影响Vite的多个版本，包括6.2.0至6.2.4、6.1.0至6.1.3、6.0.0至6.0.13以及5.0.0至5.4.16等版本。

关键观点3: 漏洞详情

该漏洞源于Vite在处理特定URL请求时，没有对请求路径进行严格的安全检查和限制。目前该漏洞的技术细节、POC以及部分截图已在互联网上公开。

关键观点4: 风险描述

攻击者可利用该漏洞获取源码、SSH密钥、数据库账号、用户数据等敏感信息，可能导致系统数据泄露等严重后果。

关键观点5: 处置建议

官方已有可更新版本，建议受影响用户升级至最新版本以修复该漏洞。同时，通过限制开发服务器的访问权限，如关闭server.host或将其绑定到特定的IP地址，以减少攻击面。此外，奇安信的多款安全产品已提供对该漏洞的防护方案。