CVE-2025-68155: CWE-22: 对路径名到受限目录的限制不当（路径遍历） in vitejs vite-plugin-react

严重性: 高 类型: 漏洞

CVE-2025-68155 @vitejs/plugin-rsc为Vite提供React Server Components（RSC）支持。在0.5.8版本之前，@vitejs/plugin-rsc中的/__vite_rsc_findSourceMapURL端点在开发模式下允许未经身份验证的任意文件读取。攻击者可以通过发送一个在filename查询参数中包含file:// URL的特制HTTP请求，读取Node.js进程可访问的任何文件。0.5.8版本修复了该问题。

AI 分析

技术摘要

CVE-2025-68155是Vite构建工具中使用的vite-plugin-react包的@vitejs/plugin-rsc组件中发现的一个路径遍历漏洞（CWE-22）。该漏洞存在于0.5.8之前的版本，出现在用于在开发期间支持React Server Components（RSC）的/__vite_rsc_findSourceMapURL HTTP端点中。该漏洞允许未经身份验证的攻击者构造在filename查询参数中包含file:// URL的HTTP请求，从而实现对服务器上Node.js进程可访问的任何文件的任意读取访问。由于这发生在开发模式下，该端点通常暴露在开发者机器或开发服务器上，这些服务器可能在内网中可访问，或者如果配置不当，也可能在外部网络中可访问。该漏洞无需身份验证或用户交互，如果端点可达，则利用起来很简单。主要影响是机密性丧失，因为攻击者可以读取敏感文件，如环境变量、源代码或凭证。由于其网络攻击向量、无需权限要求以及高机密性影响，该漏洞被分配的CVSS 3.1分数为7.5（高危）。该问题在vite-plugin-react 0.5.8版本中通过适当限制文件访问和清理输入参数以防止路径遍历得到解决。截至发布日期，尚未在野外发现已知的漏洞利用。然而，对于在不受信任用户可以访问的开发环境中使用易受攻击版本的组织而言，风险仍然很大。

潜在影响

对于欧洲组织，此漏洞对敏感开发数据的机密性构成重大风险。源代码、配置文件、API密钥或凭证的暴露可能导致进一步的危害，包括知识产权盗窃或升级到生产环境。在其开发流程中使用Vite和vite-plugin-react的组织，特别是那些具有公开可访问或隔离不良的开发服务器的组织，面临风险。对于在金融、医疗保健和关键基础设施等具有严格数据保护要求的行业的公司，敏感信息的泄露可能带来监管和声誉后果，影响尤为严重。此外，如果攻击者获得对内部开发环境的访问权限，该漏洞可能有助于在公司网络内进行横向移动。尽管该漏洞不直接影响生产构建，但开发环境的暴露可能成为更严重攻击的垫脚石。

缓解建议

主要的缓解措施是将vite-plugin-react升级到0.5.8或更高版本，该版本包含防止路径遍历的补丁。组织应审计其开发环境，确保没有使用易受攻击的版本。对运行Vite的开发服务器的访问应严格控制，仅限于受信任的内部用户，理想情况下应通过VPN或防火墙与外部网络隔离。实施网络分段以防止对开发工具的未经授权访问。此外，监控HTTP端点中是否包含file:// URL或异常查询参数的可疑请求。采用能够检测和阻止路径遍历尝试的运行时应用程序自我保护（RASP）或Web应用程序防火墙（WAF）。开发人员应避免公开暴露开发服务器，并使用环境变量或安全保险库来管理敏感数据，而不是依赖本地文件。定期审查和更新依赖项以及时纳入安全补丁。

受影响国家

德国、法国、英国、荷兰、瑞典、芬兰、爱尔兰