Vite < 4.5.10 / 5.0.x < 5.4.15 / 6.0.x < 6.0.12 / 6.1.x < 6.1.2 / 6.2.x < 6.2.3 任意のファイルの読み取り

medium Web App Scanning プラグイン ID 114772

概要

Vite < 4.5.10 / 5.0.x < 5.4.15 / 6.0.x < 6.0.12 / 6.1.x < 6.1.2 / 6.2.x < 6.2.3 任意のファイルの読み取り

説明

バージョン 4.5.10より前の Vite、 5.0.x より前の 5.4.15、 6.0.x より前 6.0.12、 6.1.x より前の 6.1.2 または 6.2.x6.2.3 より前の は、脆弱性の影響を受けます。これにより、認証されていないリモートの攻撃者は、影響を受けるアプリが Vite dev サーバーをネットワークに公開している場合に、.

ソリューション

Vite 4.5.10、 5.4.15、 6.0.12、 6.1.2、 6.2.3 以降にアップグレードしてください。

参考資料

https://github.com/vitejs/vite/security/advisories/GHSA-x574-m823-4x7w

プラグインの詳細

深刻度: Medium

ID: 114772

タイプ: remote

ファミリー: Component Vulnerability

公開日: 2025/4/17

更新日: 2025/4/17

スキャン テンプレート: basic, full, pci, scan

リスク情報

VPR

リスクファクター: Medium

スコア: 6.1

CVSS v2

リスクファクター: Medium

基本値: 5.4

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:C/I:N/A:N

CVSS スコアのソース: CVE-2025-30208

CVSS v3

リスクファクター: Medium

基本値: 5.3

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N

CVSS スコアのソース: CVE-2025-30208

脆弱性情報

CPE: cpe:2.3:a:vitejs:vite:*:*:*:*:*:*:*:*

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2025/3/24

脆弱性公開日: 2025/3/20

参照情報

CVE: CVE-2025-30208

CWE: 200, 284

OWASP: 2010-A6, 2010-A8, 2013-A5, 2013-A7, 2013-A9, 2017-A5, 2017-A6, 2017-A9, 2021-A1, 2021-A6

WASC: Information Leakage, Insufficient Authorization

CAPEC: 116, 13, 169, 19, 22, 224, 285, 287, 290, 291, 292, 293, 294, 295, 296, 297, 298, 299, 300, 301, 302, 303, 304, 305, 306, 307, 308, 309, 310, 312, 313, 317, 318, 319, 320, 321, 322, 323, 324, 325, 326, 327, 328, 329, 330, 441, 472, 478, 479, 497, 502, 503, 508, 536, 546, 550, 551, 552, 556, 558, 562, 563, 564, 573, 574, 575, 576, 577, 578, 59, 60, 616, 643, 646, 651, 79

DISA STIG: APSC-DV-000460, APSC-DV-002630

HIPAA: 164.306(a)(1), 164.306(a)(2), 164.312(a)(1), 164.312(a)(2)(i)

ISO: 27001-A.13.1.1, 27001-A.14.1.2, 27001-A.14.1.3, 27001-A.14.2.5, 27001-A.18.1.3, 27001-A.6.2.2, 27001-A.9.1.2, 27001-A.9.4.1, 27001-A.9.4.4, 27001-A.9.4.5

NIST: sp800_53-AC-3, sp800_53-CM-6b, sp800_53-SI-15

OWASP API: 2019-API7, 2023-API8

OWASP ASVS: 4.0.2-1.4.2, 4.0.2-14.2.1, 4.0.2-8.3.4

PCI-DSS: 3.2-6.2, 3.2-6.5.8