漏洞描述 在版本 6.3.4、6.2.7、6.1.6、5.4.19 和 4.5.14 之前,项目根目录中被文件匹配模式拒绝的文件内容可以返回到浏览器。只有显式将 Vite开发服务器公开给网络的应用程序(使用 --host 或 server.host 配置选项)才会受到影响。只能绕过项目根目录下且被文件匹配模式拒绝的文件。
相关漏洞推荐 POCCVE-2025-30208: Vite 任意文件读取漏洞 POCCVE-2025-24963: Vitest Browser Mode - Local File Read POCCVE-2025-30208: Vite - Arbitrary File Read POCCVE-2025-31125: Vite Development Server - Path Traversal POCCVE-2025-24963: Vitest Browser Mode - Local File Read POCCVE-2025-30208: Vite - Arbitrary File Read POCCVE-2025-31125: Vite Development Server - Path Traversal POCvite-config: Vite Configuration - File Exposure 无POCVite /@fs/Users/doggy/Desktop/vite-project/ 文件读取漏洞(CVE-2025-32395) 无POCVite 存在权限绕过导致任意文件读取漏洞(CVE-2025-32395) 无POCVite 信息泄露漏洞 无POCVite 任意文件读取(CVE-2025-31486) 无POCVite /@fs 文件读取漏洞(CVE-2025-30208/CVE-2025-31125)