Vite 漏洞列表

fofa: body="/@vite/client"

Vitest is a testing framework powered by Vite. The `__screenshot-error` handler on the browser mode HTTP server that responds any file on the file system. Especially if the server is exposed on the network by `browser.api.host- true`, an attacker can send a request to that handler from remote to get the content of arbitrary files.This `__screenshot-error` handler on the browser mode HTTP server responds any file on the file system. This code was added by commit `2d62051`. Users explicitly exposing the browser mode server to the network by `browser.api.host- true` may get any files exposed. This issue has been addressed in versions 2.1.9 and 3.0.4. Users are advised to upgrade. There are no known workarounds for this vulnerability.

Vite, a provider of frontend development tooling, has a vulnerability in versions prior to 6.2.3, 6.1.2, 6.0.12, 5.4.15, and 4.5.10. `@fs` denies access to files outside of Vite serving allow list. Adding `?raw??` or `?import&raw??` to the URL bypasses this limitation and returns the file content if it exists. This bypass exists because trailing separators such as `?` are removed in several places, but are not accounted for in query string regexes. The contents of arbitrary files can be returned to the browser. Only apps explicitly exposing the Vite dev server to the network (using `--host` or `server.host` config option) are affected. Versions 6.2.3, 6.1.2, 6.0.12, 5.4.15, and 4.5.10 fix the issue.

Path traversal vulnerability in Vite development server's @fs endpoint allows attackers to access files outside the intended directory. When exposed to the network, attackers can exploit this via crafted URLs to access sensitive system files.

Vite开发服务器是一款基于Node或Bun运行的现代化前端构建工具，提供快速的开发体验。该漏洞影响运行在Node或Bun上的Vite开发服务器。当开发服务器显式暴露在网络中时，攻击者可以通过发送带有无效request-target（包含#符号）的请求绕过server.fs.deny检查，从而访问任意文件的内容，例如系统的敏感文件（如/etc/passwd）。此漏洞可能导致敏感信息泄露。

Vite 是一种现代构建工具，可为 Web 应用程序提供快速的开发环境。Vite 假设请求在检查 server.fs.deny 时不会包含#，从而允许这类请求绕过检查。只有明确将 Vite 开发服务器暴露给网络（使用 --host 或 server.host 配置选项）并在非 Deno的运行时（例如 Node、Bun）上运行 Vite 开发服务器的应用程序才会受到影响。

Vite开发服务器在处理URL请求时未对路径进行严格校验，未经身份验证的攻击者可以通过构造特殊的URL绕过路径访问限制，从而读取目标服务器上的任意文件。 影响版本： >=6.2.0, <=6.2.5 >=6.1.0, <=6.1.4 >=6.0.0, <=6.0.14 >=5.0.0, <=5.4.17 <=4.5.12 修复版本： >=6.2.6 >=6.1.5, <6.2.0 >=6.0.15, <6.1.0 >=5.4.18, <6.0.0 >=4.5.13, <5.0.0

Vite 是一种现代构建工具，可为 Web 应用程序提供快速的开发环境。它利用原生 ES 模块，并提供热模块替换等功能，使其成为开发人员的热门选择。Vite 在6.2.3、6.1.2、6.0.12、5.4.15 和 4.5.10 之前的版本中存在任意文件读取漏洞

Vite是一款前端开发工具提供者，在其版本低于6.2.3、6.1.2、6.0.12、5.4.15和4.5.10中存在一个漏洞。@fs功能限制了访问Vite服务允许列表之外的文件。通过在URL中添加?raw??或?import&amp;raw??可以绕过这一限制，如果文件存在，则会返回文件内容。

Vite 是一个现代化的前端构建工具，旨在提供快速的开发服务器和优化的构建流程，广泛用于开发基于 JavaScript 和 TypeScript 的 Web 应用程序。 2025 年 3 月，长亭安全研究员发现一个Vite任意文件读取漏洞，并第一时间向监管单位报送了漏洞。Vite 官方已发布安全补丁，修复了该漏洞（CVE-2025-31125）。漏洞允许攻击者通过构造特殊 URL 绕过 Vite 的文件访问限制，读取服务器上的任意文件内容。由于该漏洞的利用需要特定的服务器配置，受影响的用户可根据实际情况评估风险并决定是否立即修复。 该漏洞源于 Vite 在处理带有特定查询参数的 URL 时，正则表达式和参数处理逻辑存在缺陷，导致安全检查被绕过。攻击者利用这一缺陷，通过精心构造的请求路径，访问服务器上不在允许访问列表中的文件。 影响版本 6.2.0 <= vite <= 6.2.3 6.1.0 <= vite <= 6.1.2 6.0.0 <= vite <= 6.0.12 5.0.0 <= vite <= 5.4.15 vite <= 4.5.10

Vite 是一种现代构建工具，可为 Web 应用程序提供快速的开发环境。它利用原生 ES 模块，并提供热模块替换等功能，使其成为开发人员的热门选择。Vite在版本 6.2.4、6.1.3、6.0.13、5.4.16 和 4.5.11 之前的版本中存在一个安全漏洞。该漏洞是CVE-2025-30208的绕过，且不需要添加“/@fs/”来访问根目录文件。通过在 URL 后添加 “?inline&import” 或“?import&?inline=1.wasm?init”，可以导致任意文件的内容可能会被base64加密后返回到浏览器中（如果文件存在的话）。

Vite 是一种现代构建工具，可为 Web 应用程序提供快速的开发环境。它利用原生 ES 模块，并提供热模块替换等功能，使其成为开发人员的热门选择。Vite 在6.2.3、6.1.2、6.0.12、5.4.15 和 4.5.10 之前的版本中存在任意文件读取漏洞。'@fs' 拒绝访问 Vite提供允许列表之外的文件。添加 '？raw？？' 或 '？import&raw？？' 重定向到 URL 会绕过此限制并返回文件内容。

Vite 是一个现代化的前端构建工具，旨在提供快速的开发服务器和优化的构建流程，广泛用于开发基于 JavaScript 和 TypeScript 的 Web 应用程序。 2025 年 3 月，Vite 官方发布安全补丁，修复了一个任意文件读取漏洞（CVE-2025-30208）。该漏洞允许攻击者通过构造特殊 URL 绕过 Vite 的文件访问限制，读取服务器上的任意文件内容。由于该漏洞的利用需要特定的服务器配置，受影响的用户可根据实际情况评估风险并决定是否立即修复。 该漏洞源于 Vite 在处理带有特定查询参数的 URL 时，正则表达式和参数处理逻辑存在缺陷，导致安全检查被绕过。攻击者利用这一缺陷，通过精心构造的请求路径，访问服务器上不在允许访问列表中的文件。 影响版本： 6.2.0 <= vite < 6.2.3 6.1.0 <= vite < 6.1.2 6.0.0 <= vite < 6.0.12 5.0.0 <= vite < 5.4.15 vite < 4.5.10

Vitest是Vitest开源的一个 Vite 支持的下一代测试框架。 Vitest存在路径遍历漏洞，该漏洞源于浏览器模式HTTP服务器上的__screenshot-error处理程序可响应文件系统上的任何文件。

Vitek /upload_check.php 路径存在任意文件上传漏洞

【漏洞对象】Vitek 【漏洞描述】 Vitek未严格过滤用户输入的参数，存在任意文件上传导致的远程代码执行漏洞。

【漏洞对象】Vitek 【漏洞描述】 Vitek的menu.env文件无需登录即可获取敏感信息，存在敏感信息泄露漏洞。

【漏洞对象】Vitek 【漏洞描述】 该系统存在信息泄露漏洞，可造成敏感信息泄露。