关于Vite 任意文件读取漏洞(CVE-2025-31125)的安全预警

一、 基本情况

Vite是一个现代化的前端构建工具，旨在提供更快的开发体验。它通过基于原生ES模块的开发服务器，在开发过程中实现极速热更新（HMR）。Vite在构建时使用了高度优化的打包工具，如esbuild，极大提高了构建速度。它支持多种前端框架（如React、Vue）并可以通过插件扩展功能。Vite的目标是简化前端开发工作流，并提升开发效率。

二、 漏洞描述

Vite发布的安全公告，指出在特定版本中存在任意文件读取漏洞。攻击者可以通过?inline&import或?raw?import参数获取经过base64编码的非授权文件内容。该漏洞仅在开发服务器通过--host或server.host配置暴露至网络时，才可能被利用，漏洞评分5.3分，漏洞级别为中危。

三、 影响范围

6.2.0 <= Vite <= 6.2.3

6.1.0 <= Vite <= 6.1.2

6.0.0 <= Vite <= 6.0.12

5.0.0 <= Vite <= 5.4.15

Vite <= 4.5.10

四、 修复建议

官方已发布修复版本，建议受影响用户尽快更新。

Vite >= 6.2.4

6.1.3 <= Vite < 6.2.0

6.0.13 <= Vite < 6.1.0

5.4.16 <= Vite < 6.0.0

4.5.11 <= Vite < 5.0.0

下载链接：https://github.com/vitejs/vite/releases/

五、 参考链接

https://github.com/vitejs/vite/security/advisories/GHSA-4r4m-qw57-chr8

https://github.com/vitejs/vite

https://nvd.nist.gov/vuln/detail/CVE-2025-31125