Vite 是一款高效的现代化前端构建工具，以快速冷启动和热更新为核心优势，广泛应用于 Vue、React 等项目开发。

近日，Vite 官方披露了一个中高风险安全漏洞，分配编号为CVE-2025-30208。

（一）漏洞描述

攻击者可利用CVE-2025-30208该漏洞绕过开发服务器的保护机制，非法读取服务器上的任意文件，包括项目源码、敏感配置文件等，导致严重的数据泄露风险。

（二）影响范围

6.2.0 <= Vite <= 6.2.2

6.1.0 <= Vite <= 6.1.1

6.0.0 <= Vite <= 6.0.11

5.0.0 <= Vite <= 5.4.14

Vite <= 4.5.9。

（三）安全防范建议

（1）临时解决方案：

通过限制开发服务器的访问权限，如关闭 server.host 或将其绑定到特定的 IP 地址，以减少攻击面。

（2）升级修复方案：

目前官方已有可更新版本，建议受影响用户升级至最新版本：

Vite >= 6.2.3

Vite >= 6.1.2

Vite >= 6.0.12

Vite >= 5.4.15

Vite >= 4.5.10

官方补丁下载地址：https://github.com/vitejs/vite/releases

请各单位及时排查本单位系统是否存在相关漏洞并尽快修复。若有疑问请联系信息中心。