检测

Vite < 4.5.13 / 5.0.x < 5.4.18 / 6.0.x < 6.0.15 / 6.1.x < 6.1.5 / 6.2.x < 6.2.6 任意文件读取

medium Web App Scanning 插件 ID 114778

语言:

简介

Vite < 4.5.13 / 5.0.x < 5.4.18 / 6.0.x < 6.0.15 / 6.1.x < 6.1.5 / 6.2.x < 6.2.6 任意文件读取

描述

低于 4.5.13的 Vite 版本、低于 5.0.x 的 5.4.18、低于 6.0.15的 6.0.x 、低于 6.1.x 的 6.1.5 或低于 6.2.x6.2.6 ] 的 受到一个漏洞影响,其可允许未经身份验证的远程攻击者读取受影响服务器上的任意文件。当应用将 Vite dev 服务器暴露给网络时,

解决方案

升级到 Vite 4.5.13、 5.4.18、 6.0.15、 6.1.5、 6.2.6 或更高版本。

另见

https://github.com/vitejs/vite/security/advisories/GHSA-356w-63v5-8wf4

插件详情

严重性: Medium

ID: 114778

类型: remote

发布时间: 2025/4/17

最近更新时间: 2025/4/17

扫描模板: basic, full, pci, scan

风险信息

VPR

风险因素: Medium

分数: 4.4

CVSS v2

风险因素: High

基本分数: 7.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2025-32395

CVSS v3

风险因素: Critical

基本分数: 9.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS 分数来源: CVE-2025-32395

CVSS v4

风险因素: Medium

Base Score: 6

Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

CVSS 分数来源: CVE-2025-32395

漏洞信息

CPE: cpe:2.3:a:vitejs:vite:*:*:*:*:*:*:*:*

可利用: true

易利用性: Exploits are available

补丁发布日期: 2025/4/10

漏洞发布日期: 2025/3/25

参考资料信息

CVE: CVE-2025-32395