2023天天弄国产大片_男人的天堂v在线播放_精品久久这里_久久久无码国产精精品免费国国产欧美日本韩高清视频一区二区三区免费式_成全视频免费观看在线下载

服務(wù)公告

全部公告 > 安全公告 > Vite任意文件讀取漏洞預警(CVE-2025-30208)

Vite任意文件讀取漏洞預警(CVE-2025-30208)

2025-03-28

一、概要

近日,華為雲關(guān)注到Vite發(fā)布更新版本,修復了一處任意文件讀取漏洞(CVE-2025-30208)。在Vite開(kāi)發(fā)模式下,當(dāng)使用 npm run dev –host 或者配置了server.host,即將伺服器映射到外部時(shí),攻擊者可通過(guò)在 URL 中添加 `?raw??` 或 `?import&raw??`繞過(guò)`@fs` 路徑訪(fǎng)問(wèn)限制,進(jìn)而讀取伺服器上的任意文件。當(dāng)前漏洞POC已公開(kāi),風(fēng)險(xiǎn)高。

Vite 是一款現(xiàn)代化的前端開(kāi)發(fā)構(gòu)建工具,它提供了快速的開(kāi)發(fā)伺服器和高效的構(gòu)建能力,廣(guǎng)泛應(yīng)用於 Vue.js 項(xiàng)目的開(kāi)發(fā)過(guò)程中。華為雲提醒使用Vite的用戶(hù)及時(shí)安排自檢並做好安全加固。

參考連結(jié):

https://github.com/vitejs/vite/security/advisories/GHSA-x574-m823-4x7w

二、威脅級(jí)別

威脅級(jí)別:【嚴(yán)重】

(說(shuō)明:威脅級(jí)別共四級(jí):一般、重要、嚴(yán)重、緊急) 

三、漏洞影響範圍

影響版本:

6.2.0 <= Vite <= 6.2.2

6.1.0 <= Vite <= 6.1.1

6.0.0 <= Vite <= 6.0.11

5.0.0 <= Vite <= 5.4.14

Vite <= 4.5.9

安全版本:

6.2.3 <= Vite

6.1.2 <= Vite < 6.2.0

6.0.12 <= Vite < 6.1.0

5.4.15 <= Vite < 6.0.0

4.5.10 <= Vite < 5.0.0

四、漏洞處置

1.目前,官方已發(fā)布新版本修復了該漏洞,請受影響的用戶(hù)升級(jí)到安全版本:

https://github.com/vitejs/vite/releases

2.緩解措施:

如果受影響的用戶(hù)無(wú)法及時(shí)升級(jí),可通過(guò)限制Vite開(kāi)發(fā)伺服器的訪(fǎng)問(wèn)權(quán)限進(jìn)行緩解。

註:修復漏洞前請將資料備份,並進(jìn)行充分測(cè)試。

華為雲HSS企業(yè)版及以上版本應(yīng)急漏洞掃描功能已支持Vite任意文件讀取漏洞檢測(cè),相關(guān)功能說(shuō)明請參見(jiàn)https://support.huaweicloud.com/usermanual-hss2.0/hss_01_0412.html 。

註:Linux系統(tǒng)的Agent版本為3.2.9及以上版本時(shí)支持掃描應(yīng)急漏洞。