CVE-2025-30208

Contournement de Restrictions d’Accès sur Vite

Une faille de sécurité, identifiée comme CVE-2025-30208, a été découverte dans le populaire outil de développement frontend Vite. Elle concerne les versions antérieures à 6.2.3, 6.1.2, 6.0.12, 5.4.15 et 4.5.10.

Points Clés :

• La vulnérabilité permet de contourner les mécanismes de restriction d’accès aux fichiers.
• Elle exploite une mauvaise gestion des séparateurs en fin d’URL dans le code de Vite, notamment lorsque des caractères tels que “?” sont présents.
• L’exploitation réussie mène à la divulgation du contenu de fichiers normalement inaccessibles.
• Seuls les serveurs de développement Vite explicitement exposés sur le réseau (via les options --host ou server.host) sont potentiellement affectés.

Vulnérabilité :

• CVE: CVE-2025-30208
• Description: Contournement de restrictions d’accès aux fichiers via des requêtes URL spécialement conçues (ajout de “?raw??” ou “?import&raw??”).

Recommandations :

• Mettre à jour Vite vers une version corrigée (6.2.3, 6.1.2, 6.0.12, 5.4.15, 4.5.10 ou ultérieure).
• Éviter d’exposer le serveur de développement Vite sur le réseau sans nécessité, ou prendre des mesures de sécurité appropriées si cela est indispensable.

Source