Tổng Quan về Lỗ Hổng
– CVE-2025-31125: Lỗ hổng này cho phép kẻ tấn công vượt qua các hạn chế về đường dẫn và truy cập trái phép vào các tệp tùy ý trên các máy chủ bị ảnh hưởng. Vấn đề phát sinh do việc xác minh đường dẫn không đúng cách trong quá trình xử lý yêu cầu URL.
Các Phiên Bản Bị Ảnh Hưởng
– Lỗ hổng ảnh hưởng đến các phiên bản Vite:
- 6.2.0 ≤ Vite ≤ 6.2.3
- 6.1.0 ≤ Vite ≤ 6.1.2
- 6.0.0 ≤ Vite ≤ 6.0.12
- 5.0.0 ≤ Vite ≤ 5.4.15
- Vite ≤ 4.5.10
Các Phiên Bản Không Bị Ảnh Hưởng
– Các phiên bản đã được vá:
- Vite ≥ 6.2.4
- 6.1.3 ≤ Vite < 6.2.0
- 6.0.13 ≤ Vite < 6.1.0
- 5.4.16 ≤ Vite < 6.0.0
- 4.5.11 ≤ Vite < 5.0.0
Phương Pháp Phát Hiện
– Phát Hiện Thủ Công: Người dùng có thể kiểm tra cài đặt toàn cầu với npm bằng cách sử dụng npm list --global vite hoặc xác minh phiên bản trực tiếp với vite -v.
– Phát Hiện Bằng Công Cụ: Công cụ Kiểm Thử Thâm Nhập Tự Động EZ của NSFOCUS hỗ trợ xác định dấu vết của Vite và phát hiện rủi ro lỗ hổng CVE-2025-31125. Lệnh để phát hiện là ./ez webscan –pocs vite -u https://192.168.1.41:443/.
– Phát Hiện Đám Mây: Dịch vụ Quản Lý Bề Mặt Tấn Công Bên Ngoài (EASM) của NSFOCUS có thể điều tra và giảm thiểu rủi ro lỗ hổng CVE-2025-31125.
Giải Pháp Giảm Thiểu
– Cập Nhật Chính Thức: Người dùng bị ảnh hưởng được khuyên nên nâng cấp lên một trong những phiên bản không bị ảnh hưởng đã liệt kê ở trên. Liên kết tải xuống cho phiên bản đã được vá có sẵn trên trang phát hành của Vite trên GitHub.
– Biện Pháp Bảo Vệ Tạm Thời: Nếu việc nâng cấp ngay lập tức không khả thi, người dùng có thể hạn chế truy cập vào máy chủ phát triển Vite bằng cách thực hiện các hạn chế mạng trong khi vẫn duy trì chức năng cốt lõi.
Lỗ hổng này nhấn mạnh tầm quan trọng của việc cập nhật định kỳ các máy chủ phát triển và đảm bảo các cơ chế xác minh đường dẫn đúng cách để ngăn chặn truy cập trái phép vào các tệp nhạy cảm.
