Résumé
Le 22 janvier 2026, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans Vite (Vitejs), un framework utilisé pour créer des applications web rapidement.
Référencée sous CVE-2025-31125, cette vulnérabilité permet à un attaquant distant d’exploiter cette faiblesse pour lire le contenu de fichiers sensibles qui ne devraient pas être accessibles Seules les apps qui exposent le serveur de développement Vite sur le réseau sont touchées.
Solutions
Il est recommandé d’appliquer les correctifs du fournisseur.
La faille est activement exploitée : oui
Détails techniques
Score CVSS : 7.5
EPSS : 3.61%
Risques : Lecture de fichiers non autorisés (exposition d’infos sensibles)
Systèmes affectés
Produits et versions concernées (versions vulnérables)
- Vite : < 4.5.11
- Vite : ≥ 5.0.0 et < 5.4.16
- Vite : ≥ 6.0.0 et < 6.0.13
- Vite : ≥ 6.1.0 et < 6.1.3
- Vite : ≥ 6.2.0 et < 6.2.4
Documentation
- Référence :
https://github.com/vitejs/vite/commit/59673137c45ac2bcfad1170d954347c1a17ab949
- Détails NIST CVE :
https://nvd.nist.gov/vuln/detail/CVE-2025-31125
- CVE Details :
https://www.cvedetails.com/cve/CVE-2025-31125/
- CWE :
https://www.cvedetails.com/cwe-details/284/Improper-Access-Control.html