◆概要
2025 年 3 月に、Web アプリケーションの開発者フレームワークである Vite に、機密情報の漏洩につながる脆弱性が報告されています。攻撃者に脆弱性を悪用されてしまった場合、ソフトウェアを動作させている OS 内部のファイルが閲覧されてしまいます。ソフトウェアの更新により対策してください。
◆分析者コメント
脆弱性の悪用は容易ですが、開発者モードのソフトウェアをネットワーク越しにアクセスできる状態で動作させていることが前提条件となります。脆弱性の有無に限らず、開発フレームワークの開発者モードには、開発を便利にするためセキュリティ的に推奨されない機能が有効化される可能性が高いです。開発者モードでの動作は必要な時のみに限定し、開発環境内からのみアクセスできる状態で動作させる運用が安全です。
◆深刻度(CVSS)
[CVSS v3.1]
5.3
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2025-30208&vector=AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N&version=3.1&source=GitHub,%20Inc.
◆影響を受けるソフトウェア
以下のバージョンの Vite が脆弱性の影響を受けると報告されています。
* バージョン 6.2 系 - 6.2.3 未満
* バージョン 6.1 系 - 6.1.2 未満
* バージョン 6.0 系 - 6.0.12 未満
* バージョン 5 系 - 5.4.15 未満
* バージョン 4 系 - 6.1.2 未満
◆解説
JavaScript でフロントエンドの Web アプリケーションを構築するための開発フレームワークである Vite に、機密情報の漏洩につながる脆弱性が報告されています。
脆弱性は開発者モードで動作している Vite にのみ影響を及ぼすものです。開発者モードで動作する脆弱なバージョンでは、「@fs」オプションを用いて OS 内部のファイルが閲覧できる仕様であり、許可リストにより OS 外部からのアクセスが制御できる設定ですが、URI クエリ文字列の処理に不備があるため、複数の「?」を意図的に挿入したクエリ文字列を正しく処理しません。よって攻撃者は当該不備を悪用して、許可リストによる制御を回避して対象ホスト内部のファイルが閲覧できます。
◆対策
Vite のバージョンを以下のものにアップデートしてください。
* バージョン 6.2 系 - 6.2.3 またはそれよりも新しいバージョン
* バージョン 6.1 系 - 6.1.2 またはそれよりも新しいバージョン
* バージョン 6.0 系 - 6.0.12 またはそれよりも新しいバージョン
* バージョン 5 系 - 5.4.15 またはそれよりも新しいバージョン
* バージョン 4 系 - 6.1.2 またはそれよりも新しいバージョン
開発者モードでのソフトウェアの動作にはセキュリティの観点では推奨されない機能が実装されている可能性が高いため、当該脆弱性の有無に限らず、開発者モードで動作しているソフトウェアをネットワーク越しからアクセスできないよう設定するように日頃から注意するのが重要です。
◆関連情報
[1] Vite 公式 GitHub 脆弱性情報
https://github.com/vitejs/vite/security/advisories/GHSA-x574-m823-4x7w
[2] Vite 公式 GitHub
https://github.com/vitejs/vite/commit/315695e9d97cc6cfa7e6d9e0229fb50cdae3d9f4
[3] Vite 公式 GitHub
https://github.com/vitejs/vite/commit/80381c38d6f068b12e6e928cd3c616bd1d64803c
[4] Vite 公式 GitHub
https://github.com/vitejs/vite/commit/807d7f06d33ab49c48a2a3501da3eea1906c0d41
[5] Vite 公式 GitHub
https://github.com/vitejs/vite/commit/92ca12dc79118bf66f2b32ff81ed09e0d0bd07ca
[6] Vite 公式 GitHub
https://github.com/vitejs/vite/commit/f234b5744d8b74c95535a7b82cc88ed2144263c1
[7] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2025-30208
[8] CVE Mitre
https://www.cve.org/CVERecord?id=CVE-2025-30208
----------------------------------------------------------------------
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して対象ホスト OS 内部のファイルを閲覧する手順が公開されています。
GitHub - vulhub/vulhub
https://github.com/vulhub/vulhub/tree/master/vite/CVE-2025-30208
脆弱性悪用手順とともに脆弱性を再現するためのコンテナを構築する Docker Compose ファイルが公開されているため、本検証でもそれを用いています。
#--- で始まる行は執筆者によるコメントです。
2025 年 3 月に、Web アプリケーションの開発者フレームワークである Vite に、機密情報の漏洩につながる脆弱性が報告されています。攻撃者に脆弱性を悪用されてしまった場合、ソフトウェアを動作させている OS 内部のファイルが閲覧されてしまいます。ソフトウェアの更新により対策してください。
◆分析者コメント
脆弱性の悪用は容易ですが、開発者モードのソフトウェアをネットワーク越しにアクセスできる状態で動作させていることが前提条件となります。脆弱性の有無に限らず、開発フレームワークの開発者モードには、開発を便利にするためセキュリティ的に推奨されない機能が有効化される可能性が高いです。開発者モードでの動作は必要な時のみに限定し、開発環境内からのみアクセスできる状態で動作させる運用が安全です。
◆深刻度(CVSS)
[CVSS v3.1]
5.3
https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator?name=CVE-2025-30208&vector=AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N&version=3.1&source=GitHub,%20Inc.
◆影響を受けるソフトウェア
以下のバージョンの Vite が脆弱性の影響を受けると報告されています。
* バージョン 6.2 系 - 6.2.3 未満
* バージョン 6.1 系 - 6.1.2 未満
* バージョン 6.0 系 - 6.0.12 未満
* バージョン 5 系 - 5.4.15 未満
* バージョン 4 系 - 6.1.2 未満
◆解説
JavaScript でフロントエンドの Web アプリケーションを構築するための開発フレームワークである Vite に、機密情報の漏洩につながる脆弱性が報告されています。
脆弱性は開発者モードで動作している Vite にのみ影響を及ぼすものです。開発者モードで動作する脆弱なバージョンでは、「@fs」オプションを用いて OS 内部のファイルが閲覧できる仕様であり、許可リストにより OS 外部からのアクセスが制御できる設定ですが、URI クエリ文字列の処理に不備があるため、複数の「?」を意図的に挿入したクエリ文字列を正しく処理しません。よって攻撃者は当該不備を悪用して、許可リストによる制御を回避して対象ホスト内部のファイルが閲覧できます。
◆対策
Vite のバージョンを以下のものにアップデートしてください。
* バージョン 6.2 系 - 6.2.3 またはそれよりも新しいバージョン
* バージョン 6.1 系 - 6.1.2 またはそれよりも新しいバージョン
* バージョン 6.0 系 - 6.0.12 またはそれよりも新しいバージョン
* バージョン 5 系 - 5.4.15 またはそれよりも新しいバージョン
* バージョン 4 系 - 6.1.2 またはそれよりも新しいバージョン
開発者モードでのソフトウェアの動作にはセキュリティの観点では推奨されない機能が実装されている可能性が高いため、当該脆弱性の有無に限らず、開発者モードで動作しているソフトウェアをネットワーク越しからアクセスできないよう設定するように日頃から注意するのが重要です。
◆関連情報
[1] Vite 公式 GitHub 脆弱性情報
https://github.com/vitejs/vite/security/advisories/GHSA-x574-m823-4x7w
[2] Vite 公式 GitHub
https://github.com/vitejs/vite/commit/315695e9d97cc6cfa7e6d9e0229fb50cdae3d9f4
[3] Vite 公式 GitHub
https://github.com/vitejs/vite/commit/80381c38d6f068b12e6e928cd3c616bd1d64803c
[4] Vite 公式 GitHub
https://github.com/vitejs/vite/commit/807d7f06d33ab49c48a2a3501da3eea1906c0d41
[5] Vite 公式 GitHub
https://github.com/vitejs/vite/commit/92ca12dc79118bf66f2b32ff81ed09e0d0bd07ca
[6] Vite 公式 GitHub
https://github.com/vitejs/vite/commit/f234b5744d8b74c95535a7b82cc88ed2144263c1
[7] National Vulnerability Database (NVD)
https://nvd.nist.gov/vuln/detail/CVE-2025-30208
[8] CVE Mitre
https://www.cve.org/CVERecord?id=CVE-2025-30208
----------------------------------------------------------------------
◆エクスプロイト
以下の Web サイトにて、当該脆弱性を悪用して対象ホスト OS 内部のファイルを閲覧する手順が公開されています。
GitHub - vulhub/vulhub
https://github.com/vulhub/vulhub/tree/master/vite/CVE-2025-30208
脆弱性悪用手順とともに脆弱性を再現するためのコンテナを構築する Docker Compose ファイルが公開されているため、本検証でもそれを用いています。
#--- で始まる行は執筆者によるコメントです。
