vite allows server.fs.deny bypass via backslash on Windows 漏洞信息(CVE-2025-62522)

一、漏洞 CVE-2025-62522 基础信息

漏洞信息

                                        # Vite Windows 强制拒绝绕过漏洞

## 概述

Vite 是一个面向前端开发的工具框架。在其多个版本中存在一个安全漏洞，导致当开发服务器运行在 Windows 上时，本应被 `server.fs.deny` 配置阻止访问的文件仍可能被访问，前提是请求的 URL 以反斜杠 `\` 结尾。

## 影响版本

受影响的版本包括：

- 2.9.18 ≤ version < 3.0.0  
- 3.2.9 ≤ version < 4.0.0  
- 4.5.3 ≤ version < 5.0.0  
- 5.2.6 ≤ version < 5.4.21  
- 6.0.0 ≤ version < 6.4.1  
- 7.0.0 ≤ version < 7.0.8  
- 7.1.0 ≤ version < 7.1.11  

## 细节

当 Vite 的开发服务器运行在 Windows 上且 URL 以 `\` 结尾时，`server.fs.deny` 配置未能正确阻止指定文件的访问，导致潜在的文件泄露。

## 影响

此问题仅影响以下条件同时满足的应用：

- 明确将 Vite 开发服务器暴露到网络中  
- 在 Windows 上运行开发服务器  

## 修复版本

该漏洞已在以下版本中修复：

- 5.4.21  
- 6.4.1  
- 7.0.8  
- 7.1.11

神龙判断

是否为 Web 类漏洞： 是

判断理由：

是。这个漏洞涉及Vite开发服务器在特定版本和条件下，未能正确处理文件访问请求，导致了文件泄露。具体来说，当开发服务器运行在Windows上，并且URL以反斜杠（\）结尾时，即使文件被设置为禁止访问（通过`server.fs.deny`配置），这些文件仍然可以被访问。这个漏洞只影响那些将Vite开发服务器显式暴露在网络上的应用程序，并且是在Windows操作系统上运行的。

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

vite allows server.fs.deny bypass via backslash on Windows

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Vite is a frontend tooling framework for JavaScript. In versions from 2.9.18 to before 3.0.0, 3.2.9 to before 4.0.0, 4.5.3 to before 5.0.0, 5.2.6 to before 5.4.21, 6.0.0 to before 6.4.1, 7.0.0 to before 7.0.8, and 7.1.0 to before 7.1.11, files denied by server.fs.deny were sent if the URL ended with \ when the dev server is running on Windows. Only apps explicitly exposing the Vite dev server to the network and running the dev server on Windows were affected. This issue has been patched in versions 5.4.21, 6.4.1, 7.0.8, and 7.1.11.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

对路径名的限制不恰当(路径遍历)

来源：美国国家漏洞数据库 NVD

漏洞标题

Vite 路径遍历漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Vite是Vite开源的一种新型的前端构建工具。 Vite存在路径遍历漏洞，该漏洞源于Windows环境下URL以结尾时发送了server.fs.deny拒绝的文件，可能导致信息泄露。以下版本受到影响：2.9.18版本至3.0.0之前版本、3.2.9版本至4.0.0之前版本、4.5.3版本至5.0.0之前版本、5.2.6版本至5.4.21之前版本、6.0.0版本至6.4.1之前版本、7.0.0版本至7.0.8之前版本和7.1.0版本至7.1.11之前版本。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

路径遍历

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2025-62522 的公开POC

#	POC 描述	源链接	神龙链接
1	Vite is a frontend tooling framework for JavaScript.In versions from 2.9.18 to before 3.0.0, 3.2.9 to before 4.0.0, 4.5.3 to before 5.0.0, 5.2.6 to before 5.4.21, 6.0.0 to before 6.4.1, 7.0.0 to before 7.0.8, and 7.1.0 to before 7.1.11, files denied by server.fs.deny were sent if the URL ended with \ when the dev server is running on Windows. Only apps explicitly exposing the Vite dev server to the network and running the dev server on Windows were affected. This issue has been patched in versions 5.4.21, 6.4.1, 7.0.8, and 7.1.11.	https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2025/CVE-2025-62522.yaml	POC详情

三、漏洞 CVE-2025-62522 的情报信息

标题： `server.fs.deny` bypassed with `\` on Windows · Advisory · vitejs/vite · GitHub -- 🔗来源链接

标签：x_refsource_CONFIRM

神龙速读：

                                        ### 关键漏洞信息

#### 漏洞标题
`server.fs.deny` bypassed with `\` on Windows

#### 影响版本
- >=7.1.0, <=7.1.10
- >=7.0.0, <7.0.7
- >=6.0.0, <6.4.0
- >=2.9.18, <3.0.0, >=3.2.9, <4.0.0, >=4.5.3, <5.0.0, >=5.2.6, <5.4.20

#### 修复版本
- 7.1.11
- 7.0.8
- 6.4.1
- 5.4.21

#### 描述
当在Windows上运行开发服务器时，如果URL以`\`结尾，`server.fs.deny`拒绝的文件会被访问。

#### 影响范围
- 明确将Vite开发服务器暴露在网络中（使用`--host`或`server.host_config_option`）
- 在Windows上运行开发服务器

#### 细节
`server.fs.deny`可以包含与文件匹配的模式（默认包括`.env`, `.env.*`, `*.{crt,pem}`等）。这些模式可以通过使用反斜杠`\`来绕过。根本原因是`fs.readFile('./foo.png/')`加载了`/foo.png`。

#### PoC
```bash
npm create vite@latest
cd vite-project/
cat "secret" > .env
npm install
npm run dev
curl -I --request-target /\.env\ http://localhost:5173
```

#### 严重性
- CVSS v4 base metrics: 6.0 / 10
- 攻击向量: 网络
- 攻击复杂度: 低
- 攻击要求: 存在
- 特权要求: 无
- 用户交互: 被动
- 机密性影响: 高
- 完整性影响: 无
- 可用性影响: 无

#### CVE ID
CVE-2025-62522

#### 报告者和审查者
- 报告者: minhnb11
- 修复审查者: bluvvy

$`server.fs.deny` bypassed with `\` on Windows · Advisory · vitejs/vite · GitHub$

标题： fix(dev): trim trailing slash before `server.fs.deny` check (#20968) · vitejs/vite@f479cc5 · GitHub -- 🔗来源链接

标签：x_refsource_MISC

神龙速读：

                                        ### 关键信息

- **漏洞类型**: 文件路径处理不当，可能导致路径遍历攻击。
- **修复措施**: 
  - 在 `isFileLoadingAllowed` 函数中，移除了对文件路径末尾斜杠的检查。
  - 新增代码将文件路径末尾的斜杠去除后再进行安全检查。
- **受影响文件**:
  - `packages/vite/src/node/server/middlewares/static.ts`
  - `playground/fs-serve/__tests__/fs-serve.spec.ts`
- **测试用例更新**:
  - 添加了针对不同路径格式（如以斜杠结尾、包含双斜杠等）的测试用例，确保请求被正确拒绝。
- **提交信息**: 
  - 提交ID: f479cc5
  - 提交者: sapphi-red
  - 提交时间: 16小时前
  - 相关Issue: #20908
  - 版本: v7.1.11

fix(dev): trim trailing slash before `server.fs.deny` check (#20968) · vitejs/vite@f479cc5 · GitHub

https://nvd.nist.gov/vuln/detail/CVE-2025-62522

四、漏洞 CVE-2025-62522 的评论

暂无评论

支持本站 — 捐款将帮助我们持续运营

一、漏洞 CVE-2025-62522 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-62522 的公开POC

三、漏洞 CVE-2025-62522 的情报信息

四、漏洞 CVE-2025-62522 的评论

发表评论

支持本站 — 捐款将帮助我们持续运营

一、 漏洞 CVE-2025-62522 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-62522 的公开POC

三、漏洞 CVE-2025-62522 的情报信息

四、漏洞 CVE-2025-62522 的评论

发表评论

一、漏洞 CVE-2025-62522 基础信息