【处置手册】Vite任意文件读取漏洞(CVE-2025-31125)

主要观点总结

此文章是关于Vite存在的任意文件读取漏洞（CVE-2025-31125）的安全公告。文章介绍了漏洞的影响范围、检测方法和防护措施。

关键观点总结

关键观点1: 漏洞概述

Vite是一个现代化的前端开发与构建工具，近日绿盟科技CERT监测到Vite存在任意文件读取漏洞。攻击者可利用此漏洞读取目标服务器上的任意文件。

关键观点2: 影响范围

受影响版本包括Vite 6.2.0至6.2.3、6.1.0至6.1.2、6.0.0至6.0.12和5.0.0至5.4.15等版本。只有暴露到网络的Vite开发服务器（启用--host或配置server.host的应用）会受到此漏洞的影响。

关键观点3: 漏洞检测

用户可通过人工检测、工具检测和产品检测三种方式进行漏洞检测。其中，工具检测包括绿盟科技的自动化渗透测试工具EZ、远程安全评估系统RSAS等。

关键观点4: 漏洞防护

官方已发布新版本修复此漏洞，受影响用户应尽快升级防护。同时，绿盟科技的产品如WAF、IPS和UTS也已发布规则升级包，用户需升级规则包至最新版以形成安全产品防护与监测能力。