一�����、漏洞詳情
Vite是一款前端開發(fā)構(gòu)建工具,廣泛應(yīng)用于Vue.js目的開發(fā)過程中�。
近日,監(jiān)測到官方修復(fù)Vite任意文件讀取漏洞(CVE-2025-31486)��,該漏洞源于Vite開發(fā)服務(wù)器在處理特定URL請求時,沒有對請求的路徑進(jìn)行嚴(yán)格的安全檢查和限制���,導(dǎo)致攻擊者可以繞過保護(hù)機(jī)制���,非法訪問項目根目錄外的敏感文件。
建議受影響用戶做好資產(chǎn)自查以及預(yù)防工作��,以免遭受黑客攻擊。
二��、影響范圍
6.2.0 <= Vite <= 6.2.4
6.1.0 <= Vite <= 6.1.3
6.0.0 <= Vite <= 6.0.13
5.0.0 <= Vite <= 5.4.16
Vite <= 4.5.11
三����、修復(fù)建議
目前官方已有可更新版本���,建議受影響用戶升級至最新版本:
Vite >= 6.2.5
Vite >= 6.1.4
Vite >= 6.0.14
Vite >= 5.4.17
Vite >= 4.5.12