CVE-2025-24964 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Vitest 存在远程代码执行（RCE）漏洞。 💥 **后果**：攻击者可利用该漏洞在目标系统上**任意执行代码**，彻底破坏系统安全性。

🔍 **CWE**：CWE-1385（不安全的反序列化/对象处理相关缺陷）。 📍 **缺陷点**：位于 `packages/vitest/src/api/setup.ts` 的 API 处理逻辑中，未对输入进行严格校验。

📦 **组件**：Vitest（Vite 支持的下一代测试框架）。 🏢 **厂商**：vitest-dev。 ⚠️ **范围**：所有未修复的旧版本 Vitest 用户。

👑 **权限**：获得与运行测试进程相同的**系统权限**。 📂 **数据**：可读取、修改、删除任意文件，甚至控制整个服务器。

📶 **网络**：AV:N（网络攻击向量），无需物理接触。 🔑 **认证**：PR:N（无需权限），但 UI:R（需要用户交互/触发）。 ⚙️ **配置**：AC:L（攻击复杂度低），极易利用。

🧪 **Exp**：官方披露中未提供现成 PoC 代码。 🌍 **在野**：暂无公开在野利用报告，但鉴于 CVSS 评分极高，风险极大。

🔎 **自查**：检查项目中 `vitest.config.ts` 或 `vite.config.ts` 中是否配置了 `api` 相关选项。 📂 **文件**：查看 `src/api/setup.ts` 是否存在自定义逻辑且未升级。

🛡️ **补丁**：官方已发布安全公告（GHSA-9crc-q9x8-hgqq）。 ✅ **行动**：请立即升级 Vitest 至**最新安全版本**以修复此漏洞。

🚧 **规避**：若无法立即升级，建议**禁用 API 功能**或限制测试环境的网络访问。 🔒 **隔离**：确保测试环境不与生产环境共享敏感数据或权限。

🔥 **优先级**：**紧急**！ 📈 **CVSS**：9.8（极高危）。建议**立即**安排升级，防止被自动化扫描工具利用。