Vite の開発者モードにおける遠隔からの任意のファイル読み取りにつながるクエリ文字列制御不備の脆弱性(Scan Tech Report) | ScanNetSecurity
2025.10.03(金)

Vite の開発者モードにおける遠隔からの任意のファイル読み取りにつながるクエリ文字列制御不備の脆弱性(Scan Tech Report)

 脆弱性の悪用は容易ですが、開発者モードのソフトウェアをネットワーク越しにアクセスできる状態で動作させていることが前提条件となります。開発者モードでの動作は必要な時のみに限定し、開発環境内からのみアクセスできる状態で動作させる運用が安全です。

脆弱性と脅威 エクスプロイト
https://vite.dev/
https://vite.dev/ 全 1 枚 拡大写真
◆概要
 2025 年 3 月に、Web アプリケーションの開発者フレームワークである Vite に、機密情報の漏洩につながる脆弱性が報告されています。攻撃者に脆弱性を悪用されてしまった場合、ソフトウェアを動作させている OS 内部のファイルが閲覧されてしまいます。ソフトウェアの更新により対策してください。

◆分析者コメント
 脆弱性の悪用は容易ですが、開発者モードのソフトウェアをネットワーク越しにアクセスできる状態で動作させていることが前提条件となります。脆弱性の有無に限らず、開発フレームワークの開発者モードには、開発を便利にするためセキュリティ的に推奨されない機能が有効化される可能性が高いです。開発者モードでの動作は必要な時のみに限定し、開発環境内からのみアクセスできる状態で動作させる運用が安全です。

◆深刻度(CVSS)
[CVSS v3.1]
5.3

https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2025-30208&vector=AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N&version=3.1&source=GitHub,%20Inc.

◆影響を受けるソフトウェア
 以下のバージョンの Vite が脆弱性の影響を受けると報告されています。

* バージョン 6.2 系 - 6.2.3 未満
* バージョン 6.1 系 - 6.1.2 未満
* バージョン 6.0 系 - 6.0.12 未満
* バージョン 5 系 - 5.4.15 未満
* バージョン 4 系 - 6.1.2 未満


◆解説
 JavaScript でフロントエンドの Web アプリケーションを構築するための開発フレームワークである Vite に、機密情報の漏洩につながる脆弱性が報告されています。

 脆弱性は開発者モードで動作している Vite にのみ影響を及ぼすものです。開発者モードで動作する脆弱なバージョンでは、「@fs」オプションを用いて OS 内部のファイルが閲覧できる仕様であり、許可リストにより OS 外部からのアクセスが制御できる設定ですが、URI クエリ文字列の処理に不備があるため、複数の「?」を意図的に挿入したクエリ文字列を正しく処理しません。よって攻撃者は当該不備を悪用して、許可リストによる制御を回避して対象ホスト内部のファイルが閲覧できます。

◆対策
 Vite のバージョンを以下のものにアップデートしてください。

* バージョン 6.2 系 - 6.2.3 またはそれよりも新しいバージョン
* バージョン 6.1 系 - 6.1.2 またはそれよりも新しいバージョン
* バージョン 6.0 系 - 6.0.12 またはそれよりも新しいバージョン
* バージョン 5 系 - 5.4.15 またはそれよりも新しいバージョン
* バージョン 4 系 - 6.1.2 またはそれよりも新しいバージョン

 開発者モードでのソフトウェアの動作にはセキュリティの観点では推奨されない機能が実装されている可能性が高いため、当該脆弱性の有無に限らず、開発者モードで動作しているソフトウェアをネットワーク越しからアクセスできないよう設定するように日頃から注意するのが重要です。

◆関連情報
[1] Vite 公式 GitHub 脆弱性情報
  https://github.com/vitejs/vite/security/advisories/GHSA-x574-m823-4x7w
[2] Vite 公式 GitHub
  https://github.com/vitejs/vite/commit/315695e9d97cc6cfa7e6d9e0229fb50cdae3d9f4
[3] Vite 公式 GitHub
  https://github.com/vitejs/vite/commit/80381c38d6f068b12e6e928cd3c616bd1d64803c
[4] Vite 公式 GitHub
  https://github.com/vitejs/vite/commit/807d7f06d33ab49c48a2a3501da3eea1906c0d41
[5] Vite 公式 GitHub
  https://github.com/vitejs/vite/commit/92ca12dc79118bf66f2b32ff81ed09e0d0bd07ca
[6] Vite 公式 GitHub
  https://github.com/vitejs/vite/commit/f234b5744d8b74c95535a7b82cc88ed2144263c1
[7] National Vulnerability Database (NVD)
  https://nvd.nist.gov/vuln/detail/CVE-2025-30208
[8] CVE Mitre
  https://www.cve.org/CVERecord?id=CVE-2025-30208
----------------------------------------------------------------------
◆エクスプロイト
 以下の Web サイトにて、当該脆弱性を悪用して対象ホスト OS 内部のファイルを閲覧する手順が公開されています。

  GitHub - vulhub/vulhub
  https://github.com/vulhub/vulhub/tree/master/vite/CVE-2025-30208

 脆弱性悪用手順とともに脆弱性を再現するためのコンテナを構築する Docker Compose ファイルが公開されているため、本検証でもそれを用いています。

#--- で始まる行は執筆者によるコメントです。

《株式会社ラック デジタルペンテスト部》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

    業務目的外でパソコンを利用中に詐欺サイトに接続 ~ 委託事業者パソナの従業員

  2. ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

    ガートナー、2025 年版の日本におけるセキュリティのハイプ・サイクル発表

  3. 諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

    諭旨解雇処分 ~ 電気通信大学 准教授 共同研究先の企業に秘密を漏えい

  4. Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

    Microsoft が土壇場で譲歩 欧州 Windows 10 ユーザーだけに猶予措置

  5. パソナの派遣社員が独立行政法人に関する情報を不正に持ち出し、削除の要請にも応じず

    パソナの派遣社員が独立行政法人に関する情報を不正に持ち出し、削除の要請にも応じず

ランキングをもっと見る
PageTop