关于Vite任意文件读取漏洞(CVE-2025-31486)的安全预警

一、 基本情况

Vite是一个现代化的前端构建工具，旨在提供更快的开发体验。它通过基于原生ES模块的开发服务器，在开发过程中实现极速热更新（HMR）。Vite在构建时使用了高度优化的打包工具，如esbuild，极大提高了构建速度。它支持多种前端框架（如React、Vue）并可以通过插件扩展功能。Vite的目标是简化前端开发工作流，并提升开发效率。

二、 漏洞描述

Vite发布的安全公告，指出在特定版本中存在任意文件读取漏洞。允许攻击者通过构造特定的请求路径（如修改为 .svg 文件扩展名并结合其他参数）绕过文件访问限制，暴露任意文件的内容，可能导致敏感信息泄露。该漏洞仅在开发服务器通过--host或server.host配置暴露至网络时，才可能被利用，漏洞评分5.3分，漏洞级别为中危。

三、 影响范围

6.2.0 <= Vite <= 6.2.4

6.1.0 <= Vite <= 6.1.3

6.0.0 <= Vite <= 6.0.13

5.0.0 <= Vite <= 5.4.16

Vite <= 4.5.11

四、 修复建议

官方已发布修复版本，建议受影响用户尽快更新。

Vite >= 6.2.5

6.1.4 <= Vite < 6.2.0

6.0.14 <= Vite < 6.1.0

5.4.17 <= Vite < 6.0.0

4.5.12 <= Vite < 5.0.0

下载链接：https://github.com/vitejs/vite/releases/

五、 参考链接

https://github.com/vitejs/vite/blob/037f801075ec35bb6e52145d659f71a23813c48f/packages/vite/src/node/plugins/asset.ts#L285-L290