一、 漏洞 CVE-2025-62522 基础信息
漏洞信息
                                        # Vite Windows 强制拒绝绕过漏洞

## 概述

Vite 是一个面向前端开发的工具框架。在其多个版本中存在一个安全漏洞,导致当开发服务器运行在 Windows 上时,本应被 `server.fs.deny` 配置阻止访问的文件仍可能被访问,前提是请求的 URL 以反斜杠 `\` 结尾。

## 影响版本

受影响的版本包括:

- 2.9.18 ≤ version < 3.0.0  
- 3.2.9 ≤ version < 4.0.0  
- 4.5.3 ≤ version < 5.0.0  
- 5.2.6 ≤ version < 5.4.21  
- 6.0.0 ≤ version < 6.4.1  
- 7.0.0 ≤ version < 7.0.8  
- 7.1.0 ≤ version < 7.1.11  

## 细节

当 Vite 的开发服务器运行在 Windows 上且 URL 以 `\` 结尾时,`server.fs.deny` 配置未能正确阻止指定文件的访问,导致潜在的文件泄露。

## 影响

此问题仅影响以下条件同时满足的应用:

- 明确将 Vite 开发服务器暴露到网络中  
- 在 Windows 上运行开发服务器  

## 修复版本

该漏洞已在以下版本中修复:

- 5.4.21  
- 6.4.1  
- 7.0.8  
- 7.1.11
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
vite allows server.fs.deny bypass via backslash on Windows
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Vite is a frontend tooling framework for JavaScript. In versions from 2.9.18 to before 3.0.0, 3.2.9 to before 4.0.0, 4.5.3 to before 5.0.0, 5.2.6 to before 5.4.21, 6.0.0 to before 6.4.1, 7.0.0 to before 7.0.8, and 7.1.0 to before 7.1.11, files denied by server.fs.deny were sent if the URL ended with \ when the dev server is running on Windows. Only apps explicitly exposing the Vite dev server to the network and running the dev server on Windows were affected. This issue has been patched in versions 5.4.21, 6.4.1, 7.0.8, and 7.1.11.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
对路径名的限制不恰当(路径遍历)
来源:美国国家漏洞数据库 NVD
漏洞标题
Vite 路径遍历漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Vite是Vite开源的一种新型的前端构建工具。 Vite存在路径遍历漏洞,该漏洞源于Windows环境下URL以结尾时发送了server.fs.deny拒绝的文件,可能导致信息泄露。以下版本受到影响:2.9.18版本至3.0.0之前版本、3.2.9版本至4.0.0之前版本、4.5.3版本至5.0.0之前版本、5.2.6版本至5.4.21之前版本、6.0.0版本至6.4.1之前版本、7.0.0版本至7.0.8之前版本和7.1.0版本至7.1.11之前版本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
路径遍历
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-62522 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-62522 的情报信息
四、漏洞 CVE-2025-62522 的评论

暂无评论

发表评论