一、漏洞详情

Vite 是一个现代化的前端构建工具，它利用了浏览器原生ES模块导入的能力来提供快速的开发服务器和构建性能。

近日，监测到一则Vite 组件存在任意文件读取漏洞（CVE-2025-31125）。Vite存在一个任意文件读取漏洞，未授权的攻击者可以构造恶意的HTTP请求读取任意文件，导致敏感信息泄露。

建议受影响用户做好资产自查以及预防工作，以免遭受黑客攻击。

二、影响范围

目前受影响的Vite版本：

Vite ≤ 4.5.10

5.0.0 ≤ Vite ≤ 5.4.15

6.0.0 ≤ Vite ≤ 6.0.12

6.1.0 ≤ Vite ≤ 6.1.2

6.2.0 ≤ Vite ≤ 6.2.3

三、修复建议

官方已修复该漏洞，建议受影响用户将服务器更新到以下版本：

Vite 6.2.4

Vite 6.1.3

Vite 6.0.13

Vite 5.4.16

Vite 4.5.11