关键信息 漏洞概述 漏洞名称: Files starting with the same name with the public directory were served CVE ID: CVE-2025-58751 GHSA ID: GHSA-g4jq-h2w9-997c 严重性: 低 (2.3/10) 影响范围 受影响版本: - - - - 修复版本: - - - - 漏洞描述 摘要: 文件名与公共目录相同且位于公共目录中的文件被绕过 设置提供服务。 影响: 只有满足以下条件的应用程序会受到影响: - 显式地将 Vite 开发服务器暴露在网络中(使用 或 配置选项) - 使用公共目录功能(默认启用) - 公共目录中存在符号链接 细节 问题原因: 函数在处理公共文件时,如果 变量未定义,则会将请求的页面作为公共页面处理,并传递给公共服务函数。由于公共页面中间件禁用了此功能检查,导致所有请求都会被传递到公共服务函数,从而绕过访问控制。 证明概念 (PoC) 然后,在另一个 shell 中运行以下命令: 你将收到 403 HTTP 响应,因为 被拒绝。 接着运行: 你将收到 的内容。 相关链接 lukeed/sirv#fe113f3