← volver
CVE-2025-31125

Vite has a `server.fs.deny` bypassed for `inline` and `raw` with `?import` query

CVSS 5.3 MEDIUMEPSS 62.1%● KEVCWE-200CWE-284
En resumen

Vite permite leer archivos protegidos usando parámetros especiales en la URL (?inline&import o ?raw?import), omitiendo las restricciones de seguridad. Solo servidores de desarrollo expuestos en la red se ven afectados.

Detalle técnico

Una vulnerabilidad de travesía de directorios en el servidor de desarrollo de Vite ignora las restricciones server.fs.deny cuando se añaden los parámetros ?inline&import o ?raw?import a las solicitudes. El ataque requiere acceso a la red del servidor expuesto y permite divulgación no autorizada de archivos sensibles fuera del directorio permitido.

Resumen generado y traducido por IA a partir de la descripción oficial.
Vite is a frontend tooling framework for javascript. Vite exposes content of non-allowed files using ?inline&import or ?raw?import. Only apps explicitly exposing the Vite dev server to the network (using --host or server.host config option) are affected. This vulnerability is fixed in 6.2.4, 6.1.3, 6.0.13, 5.4.16, and 4.5.11.
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N
Productos afectados
vitejs · vite
PoCs públicas encontradas4
githubgithub.com/sunhuiHi666/CVE-2025-311256githubgithub.com/MuhammadWaseem29/Vitejs-exploit0githubgithub.com/0xgh057r3c0n/CVE-2025-311250githubgithub.com/harshgupptaa/Path-Transversal-CVE-2025-31125-0
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/vitejs/vite/commit/59673137c45ac2bcfad1170d954347c1a17ab949https://github.com/vitejs/vite/security/advisories/GHSA-4r4m-qw57-chr8https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-31125