关键漏洞信息 漏洞标题 bypassed with an invalid 严重性 等级: Moderate CVSS v4 base metrics: 6.0 / 10 影响版本 受影响版本: - >=6.2.0, =6.1.0, =6.0.0, =5.0.0, =6.2.6 - >=6.1.5, =6.0.15, =5.4.18, =4.5.13, <5.0.0 描述 摘要: 如果开发服务器在Node或Bun上运行,任意文件的内容可以返回到浏览器。 影响: 只有满足以下条件的应用程序会受到影响: - 显式地将Vite开发服务器暴露在网络中(使用 或 ) - 在非Deno的运行时(如Node、Bun)上运行Vite开发服务器 细节 HTTP 1.1规范(RFC 9112)不允许在 中包含 。虽然攻击者可以发送这样的请求,但这些带有无效 (包括 )的请求应被拒绝,并返回400或301状态码。HTTP 2也有类似的规定。 在Node和Bun上,这些请求不会被内部拒绝,而是传递给用户代码。对于这些请求, 包含 。Vite假设 在检查 时不会包含 ,从而允许这些类型的请求绕过检查。 PoC CVE ID CVE-2025-32395 报告者 do9gy-msec sw0rd1ight