CVE-2025-31125
Vite has a `server.fs.deny` bypassed for `inline` and `raw` with `?import` query
Em resumo
O Vite permite ler arquivos protegidos usando parâmetros especiais na URL (?inline&import ou ?raw?import), contornando as restrições de segurança. Apenas servidores de desenvolvimento expostos na rede são afetados.
Detalhe técnico
Uma vulnerabilidade de travessia de diretórios no servidor de desenvolvimento do Vite ignora as restrições server.fs.deny quando os parâmetros ?inline&import ou ?raw?import são adicionados às requisições. O ataque exige acesso à rede do servidor exposto e permite divulgação não autorizada de arquivos sensíveis fora do diretório permitido.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Vite is a frontend tooling framework for javascript. Vite exposes content of non-allowed files using ?inline&import or ?raw?import. Only apps explicitly exposing the Vite dev server to the network (using --host or server.host config option) are affected. This vulnerability is fixed in 6.2.4, 6.1.3, 6.0.13, 5.4.16, and 4.5.11.
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N
Produtos afetados
vitejs · vitePoCs públicas encontradas — 4
githubgithub.com/sunhuiHi666/CVE-2025-31125★ 6githubgithub.com/MuhammadWaseem29/Vitejs-exploit★ 0githubgithub.com/0xgh057r3c0n/CVE-2025-31125★ 0githubgithub.com/harshgupptaa/Path-Transversal-CVE-2025-31125-★ 0⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →