CVE-2025-58751 - 漏洞详情

CVE-2025-58751 (CNNVD-202509-1033)

LOW

中文标题:

Vite 访问控制错误漏洞

英文标题:

Vite middleware may serve files starting with the same name with the public directory

CVSS分数: 2.3

发布时间: 2025-09-08 22:52:45

漏洞类型: 授权问题

状态: PUBLISHED

数据质量分数: 0.30

数据版本: v3

漏洞描述

中文描述:

Vite是Vite开源的一种新型的前端构建工具。 Vite 7.1.5、7.0.7、6.3.6和5.4.20之前版本存在访问控制错误漏洞，该漏洞源于绕过server.fs设置的文件访问。

英文描述:

Vite is a frontend tooling framework for JavaScript. Prior to versions 7.1.5, 7.0.7, 6.3.6, and 5.4.20, files starting with the same name with the public directory were served bypassing the `server.fs` settings. Only apps that explicitly expose the Vite dev server to the network (using --host or `server.host` config option), use the public directory feature (enabled by default), and have a symlink in the public directory are affected. Versions 7.1.5, 7.0.7, 6.3.6, and 5.4.20 fix the issue.

CWE类型:

CWE-22 CWE-284 CWE-200

受影响产品

厂商	产品	版本	版本范围	平台	CPE
vitejs	vite	< 5.4.20	-	-	`cpe:2.3:a:vitejs:vite:<_5.4.20:::::::*`
vitejs	vite	>= 6.0.0, < 6.3.6	-	-	`cpe:2.3:a:vitejs:vite:>=_6.0.0,_<_6.3.6:::::::*`
vitejs	vite	>= 7.0.0, < 7.0.7	-	-	`cpe:2.3:a:vitejs:vite:>=_7.0.0,_<_7.0.7:::::::*`
vitejs	vite	>= 7.1.0, < 7.1.5	-	-	`cpe:2.3:a:vitejs:vite:>=_7.1.0,_<_7.1.5:::::::*`
vitejs	vite	*	-	-	`cpe:2.3:a:vitejs:vite::::::node.js::*`

解决方案

中文解决方案:

（暂无数据）

英文解决方案:

（暂无数据）

临时解决方案:

（暂无数据）

参考链接

https://github.com/vitejs/vite/security/advisories/GHSA-g4jq-h2w9-997c x_refsource_CONFIRM
cve.org

访问

https://github.com/lukeed/sirv/commit/f0113f3f8266328d804ee808f763a3c11f8997eb x_refsource_MISC
cve.org

访问

https://github.com/vitejs/vite/commit/09f2b52e8d5907f26602653caf41b3a56692600d x_refsource_MISC
cve.org

访问

https://github.com/vitejs/vite/commit/4f1c35bcbb5830290c694aa14b6789e07450f069 x_refsource_MISC
cve.org

访问

https://github.com/vitejs/vite/commit/63e2a5d232218f3f8d852056751e609a5367aaec x_refsource_MISC
cve.org

访问

https://github.com/vitejs/vite/commit/e11d24008b97d4ca731ecc1a3b95260a6d12e7e0 x_refsource_MISC
cve.org

访问

CVSS评分详情

4.0 (cna)

LOW

2.3

CVSS向量: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N

机密性

LOW

完整性

NONE

可用性

NONE

后续系统影响 (Subsequent):

机密性

NONE

完整性

NONE

可用性

NONE

时间信息

发布时间:

2025-09-08 22:52:45

修改时间:

2025-09-09 13:29:36

创建时间:

2025-11-11 15:40:46

更新时间:

2025-11-11 16:00:09

利用信息

暂无可利用代码信息

数据源详情

数据源	记录ID	版本	提取时间
CVE	`cve_CVE-2025-58751`	2025-11-11 15:23:30	2025-11-11 07:40:46
NVD	`nvd_CVE-2025-58751`	2025-11-11 15:01:02	2025-11-11 07:48:32
CNNVD	`cnnvd_CNNVD-202509-1033`	2025-11-11 15:12:56	2025-11-11 08:00:09

版本与语言

当前版本: v3

主要语言: EN

支持语言:

EN ZH

安全公告

暂无安全公告信息

变更历史

v3 CNNVD

2025-11-11 16:00:09

vulnerability_type: 未提取 → 授权问题; cnnvd_id: 未提取 → CNNVD-202509-1033; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']

查看详细变更

vulnerability_type: 未提取 -> 授权问题
cnnvd_id: 未提取 -> CNNVD-202509-1033
data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']

v2 NVD

2025-11-11 15:48:32

affected_products_count: 4 → 5; data_sources: ['cve'] → ['cve', 'nvd']

查看详细变更

affected_products_count: 4 -> 5
data_sources: ['cve'] -> ['cve', 'nvd']

CVE-2025-58751 (CNNVD-202509-1033)

中文标题:

Vite 访问控制错误漏洞

英文标题:

Vite middleware may serve files starting with the same name with the public directory

漏洞描述

中文描述:

英文描述:

CWE类型:

标签:

受影响产品

解决方案

中文解决方案:

英文解决方案:

临时解决方案:

参考链接

CVSS评分详情

4.0 (cna)

时间信息

利用信息

数据源详情

版本与语言

安全公告

变更历史