1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. フロントエンドツール Viteで任意ファイルの読み取りが可能な脆弱性(CVE-2025-30208)

フロントエンドツール Viteで任意ファイルの読み取りが可能な脆弱性(CVE-2025-30208)

セキュリティニュース

投稿日時: 更新日時:

フロントエンドツール Viteで任意ファイル読み取りが可能な脆弱性(CVE-2025-30208)

フロントエンドツール  Vite(ヴィート)で任意ファイル読み取りが可能な脆弱性(CVE-2025-30208)が発見されました。特定バージョンかつVite 開発サーバーをネットワークに明示的に公開している場合が対象になります。

脆弱性の対象バージョン

Vite 開発サーバーをネットワークに明示的に公開するアプリケーション、–hostまたはserver.host 構成オプションを使用している場合かつ以下バージョン

  • 6.2.0 ~ 6.2.2

  • 6.1.0 ~ 6.1.1

  • 6.0.0 ~ 6.0.11

  • 5.0.0 ~ 5.4.14

  • 4.0.0 ~ 4.5.9

脆弱性の対策バージョン

  • 6.2.3 以降

  • 6.1.2(6.2.0 未満)

  • 6.0.12(6.1.0 未満)

  • 5.4.15(6.0.0 未満)

  • 4.5.10(5.0.0 未満)

脆弱性の概要

対象バージョンに記載している通り、Vite 開発サーバーをネットワークに公開している場合のみ影響が発生します。

?raw???import&raw?? といった特殊なクエリ文字列を付与することで、Viteが内部で行っているパス制限処理をすり抜けてしまい、任意ファイルの中身をブラウザ経由で取得できるという深刻な問題があります。。

GitHubには既にPoCも公開されており、対象者は早急にアップデートする事をお勧めします。

 

関連記事

PyPIの人気ライブラリ「requests」に偽装したバックドア ライブラリ「requests-darwin-lite」を確認PyPIの人気ライブラリ「requests」に偽装したバックドア ライブラリ「requests-darwin-lite」を確認 Apache Struts2の脆弱性を利用するPoCエクスプロイトが公開される(CVE-2024-53677)Apache Struts2の脆弱性を利用するPoCエクスプロイトが公開される(CVE-2024-53677) トロイの木馬化された「jQuery」がnpmやGitHubで拡散トロイの木馬化された「jQuery」がnpmやGitHubで拡散 Kubernetes Image Builderで危険度の高い脆弱性(CVE-2024-9486,CVE-2024-9594)Kubernetes Image Builderで危険度の高い脆弱性(CVE-2024-9486,CVE-2024-9594) Vimのtar.vimプラグインにリスクの高い脆弱性(CVE-2025-27423)Vimのtar.vimプラグインにリスクの高い脆弱性(CVE-2025-27423) Next.jsが危険度の高い脆弱性を修正 早期適用を(CVE-2025-29927)Next.jsが危険度の高い脆弱性を修正 早期適用を(CVE-2025-29927) パロアルト ネットワークスの重大な脆弱性がサイバー攻撃に悪用されるとCISAが警告パロアルト ネットワークスの重大な脆弱性がサイバー攻撃に悪用されるとCISAが警告 JavaScriptのライブラリ「Polyfill.io」がサプライチェーン攻撃に悪用 10万以上のサイトに影響JavaScriptのライブラリ「Polyfill.io」がサプライチェーン攻撃に悪用 10万以上のサイトに影響 Default ThumbnailVMwareのvCenterで重大な脆弱性のパッチがリリース 今すぐ適用を(CVE-2024-37079、CVE-2024-37080、CVE-2024-37081)