一、 漏洞 CVE-2025-31486 基础信息
漏洞信息
# Vite 允许通过 .svg 或相对路径绕过 server.fs.deny 配置
# 漏洞描述
## 概述
Vite 是一个用于 JavaScript 的前端工具框架。攻击者可以通过特定请求绕过 `server.fs.deny` 限制,返回任意文件内容到浏览器。
## 影响版本
- 4.5.12
- 5.4.17
- 6.0.14
- 6.1.4
- 6.2.5
这些版本已修复该漏洞。受影响的版本为 Vite 6.0+。
## 细节
通过在请求中添加 `?.svg` 和 `?.wasm?init` 或使用 `sec-fetch-dest: script` 请求头,可以绕过文件访问限制 (`server.fs.deny`)。此绕过仅在以下条件下成立:
1. 文件大小小于 `build.assetsInlineLimit`(默认为 4kB)。
2. 使用 Vite 6.0+ 版本。
## 影响
只有明确将 Vite 开发服务器暴露到网络中的应用(使用 `--host` 或 `server.host` 配置选项)才会受到此漏洞影响。
提示
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
漏洞标题
漏洞描述信息
CVSS信息
漏洞类别
二、漏洞 CVE-2025-31486 的公开POC
三、漏洞 CVE-2025-31486 的情报信息
-
标题: `server.fs.deny` bypassed with `.svg` or relative paths · Advisory · vitejs/vite · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
-
标题: fix: fs check with svg and relative paths (#19782) · vitejs/vite@62d7e81 · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
-
标题: vite/packages/vite/src/node/plugins/asset.ts at 037f801075ec35bb6e52145d659f71a23813c48f · vitejs/vite · GitHub -- 🔗来源链接
标签: x_refsource_MISC
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-31486
四、漏洞 CVE-2025-31486 的评论
暂无评论