Trusted DesignCVE-2025-31125 の詳細
CVEの情報
説明:
Vite is a frontend tooling framework for javascript. Vite exposes content of non-allowed files using ?inline&import or ?raw?import. Only apps explicitly exposing the Vite dev server to the network (using --host or server.host config option) are affected. This vulnerability is fixed in 6.2.4, 6.1.3, 6.0.13, 5.4.16, and 4.5.11.
CVE更新日: 2025-03-31 17:15:43.163000
CVSSバージョン: 3.1
CVSSスコア: 5.3
KEVの情報
KEV更新日: 2026-01-22
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.651120000
EPSS更新日: 2026-03-01 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: False
CVE-2025-31125は、Vite開発サーバに存在する不適切なアクセス制御(Improper Access Control)脆弱性です。?inline&importや?raw?importを悪用することで、本来アクセスが許可されていないファイルの内容がブラウザへ返されます。サーバをネットワークへ公開している場合にのみ影響します。 【1. 脆弱性の概要】 ■ 影響 - 任意の非許可ファイルの内容がブラウザへ返されてしまいます。(情報漏えい) - base64形式でファイル内容が取得可能です。 - Vite dev serverをネットワーク公開している場合に攻撃成立します。 ■ 深刻度 - CVSS 4.0: 5.3 【2. 対象となる環境】 ■ 影響を受けるバージョン - >= 6.2.0, < 6.2.4 - >= 6.1.0, < 6.1.3 - >= 6.0.0, < 6.0.13 - >= 5.0.0, < 5.4.16 - < 4.5.11 (GitHub Advisory Database より) ■ 影響を受けるOSバージョン - OS依存の記述はありません。 ■ 影響を受ける設定 - Vite dev serverを--hostまたはserver.hostでネットワーク公開している場合のみ影響します。 【3. 影響を受けた時の兆候】 - 攻撃者が?inline&importや?raw?importを利用したアクセスを行う可能性があります。 【4. 推奨対策】 ■ 本対策 - 修正版へ更新:6.2.4 / 6.1.3 / 6.0.13 / 5.4.16 / 4.5.11 ■ 暫定回避策(緩和策) - Vite dev serverをインターネットへ公開しない