CVE-2025-68155 on 办公AI智能小助手 https://blog.qife122.com/tags/cve-2025-68155/ Recent content in CVE-2025-68155 on 办公AI智能小助手 Hugo zh-cn qife Tue, 30 Dec 2025 04:09:54 +0800 Vite构建工具高危漏洞剖析:路径穿越导致任意文件读取 https://blog.qife122.com/p/vite%E6%9E%84%E5%BB%BA%E5%B7%A5%E5%85%B7%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90%E8%B7%AF%E5%BE%84%E7%A9%BF%E8%B6%8A%E5%AF%BC%E8%87%B4%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E8%AF%BB%E5%8F%96/ Tue, 30 Dec 2025 04:09:54 +0800 https://blog.qife122.com/p/vite%E6%9E%84%E5%BB%BA%E5%B7%A5%E5%85%B7%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E5%89%96%E6%9E%90%E8%B7%AF%E5%BE%84%E7%A9%BF%E8%B6%8A%E5%AF%BC%E8%87%B4%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E8%AF%BB%E5%8F%96/ <h1 id="cve-2025-68155-cwe-22-对路径名到受限目录的限制不当路径遍历-in-vitejs-vite-plugin-react">CVE-2025-68155: CWE-22: 对路径名到受限目录的限制不当(路径遍历) in vitejs vite-plugin-react</h1> <p><strong>严重性:</strong> 高 <strong>类型:</strong> 漏洞</p> <p><strong>CVE-2025-68155</strong> <code>@vitejs/plugin-rsc</code>为Vite提供React Server Components(RSC)支持。在0.5.8版本之前,<code>@vitejs/plugin-rsc</code>中的<code>/__vite_rsc_findSourceMapURL</code>端点在开发模式下允许未经身份验证的任意文件读取。攻击者可以通过发送一个在<code>filename</code>查询参数中包含<code>file://</code> URL的特制HTTP请求,读取Node.js进程可访问的任何文件。0.5.8版本修复了该问题。</p>