漏洞描述
在版本 6.3.4、6.2.7、6.1.6、5.4.19 和 4.5.14 之前,项目根目录中被文件匹配模式拒绝的文件内容可以返回到浏览器。只有显式将 Vite开发服务器公开给网络的应用程序(使用 --host 或 server.host 配置选项)才会受到影响。只能绕过项目根目录下且被文件匹配模式拒绝的文件。
Vite 文件读取权限绕过(CVE-2025-46565)
PoC代码
暂无相关漏洞推荐
- Vite /.env/. 目录遍历漏洞(CVE-2025-46565)
- POC CVE-2025-31486: Vite server.fs.deny Bypass - Local File Inclusion
- (CVE-2025-62522)Vite开发服务器Windows环境下文件泄露漏洞
- (CVE-2025-58751) Vite server.fs 安全绕过漏洞
- POC CVE-2025-24963: Vitest Browser Mode - Local File Read
- POC CVE-2025-30208: Vite - Arbitrary File Read
- POC CVE-2025-31125: Vite Development Server - Path Traversal
- POC CVE-2025-30208: Vite 任意文件读取漏洞
- POC CVE-2025-58751: Vite Dev Server - Path Traversal
- POC vite-config: Vite Configuration - File Exposure
- Vite /@fs/Users/doggy/Desktop/vite-project/ 文件读取漏洞(CVE-2025-32395)
- Vite 存在权限绕过导致任意文件读取漏洞(CVE-2025-32395)
- Vite 信息泄露漏洞