Vite 开发服务器存在任意文件读取漏洞

原创 已于 2025-03-29 15:24:42 修改 · 689 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #运维 #Vite #文件读取漏洞 #安全

于 2025-03-29 15:22:15 首次发布

漏洞描述

Vite 是一个现代前端构建工具,用于快速启动和开发 Vue、React 等应用。在受影响版本中,由于对 @fs 路径的访问控制不严,攻击者可通过构造特殊查询参数(如 ?raw?? 或 ?import&raw??)绕过安全限制,读取服务器上的任意文件(如 /etc/passwd、项目源码、配置文件等)

影响范围

  • 受影响版本

    • Vite ≤ 6.2.2(6.x 分支)

    • Vite ≤ 5.4.14(5.x 分支)

    • Vite ≤ 4.5.9(4.x 分支)

    • 受影响场景

      • 开发模式下显式配置 server.host: '0.0.0.0' 或启动时使用 --host 参数,将开发服务器暴露到公网。

 fofa搜索语法

(header="vite" || body="/@vite/client" || body="__vite_ping")
 && (port="3000" || port="5173" || port="8080" || port="4173")

 复现过程

我们尝试像CNVD-2022-44615一样访问/@fs/etc/passwd,发现已经被403禁止访问了

在后面继续拼接?raw??

在后面拼接?import&raw??,同样也可以绕过

漏洞修复

升级至以下安全版本:

对于Vite = 6.2.0:升级到 6.2.2 以上版本

对于Vite = 6.1.0:升级到 6.1.1 以上版本

对于Vite = 6.0.0:升级到 6.0.11 以上版本

对于Vite = 5.0.0:升级到 5.4.14 以上版本

对于Vite <= 4.5.9:升级到 4.5.9 以上版本

临时解决方案:

禁止在生产环境开放 Vite Dev Server,仅限本地或内网使用。

在防火墙或代理层配置 IP 白名单,限制仅可信地址访问 Dev Server。

在代理层拦截含 /@fs/?raw?import&raw 的请求,防止绕过访问本地文件系统。

Vite 存在任意文件读取漏洞(CVE-2025-30208)
qq_43540348的博客
03-27 1488
Vite 是一个面向现代 Web 开发的轻量级前端构建工具,由 Vue.js 作者尤雨溪团队打造。它基于原生 ES 模块(ESM)提供极速的开发服务器启动和热更新,利用浏览器原生支持的特性实现按需编译,无需打包,显著提升开发效率。生产环境则通过 Rollup 进行高效构建,支持 TypeScript、JSX、CSS 预处理器等主流工具链,同时提供丰富的插件生态。Vite 以"快"为核心,重新定义了前端开发体验,尤其适合单页应用(SPA)、库工具等场景。
Fastadmin框架短视频知识付费系统存在任意文件读取漏洞
缘梦未来的博客
11-24 442
FastAdmin框架短视频系统/视频知识付费源码/附带小说系统系统视频支持包月、单独购买、观影卷等功能源码附带小说系统源码需要配置高服务器和VDN加速
Vite -- 任意文件读取漏洞
yqya_的博客
04-25 1295
简单介绍了 vite 开发服务器存在的三个任意文件读取漏洞
漏洞复现】Vite 任意文件读取漏洞 CVE-2025-30208/CVE-2025-31125/CVE-2025-31486/CVE-2025-32395
仇辉攻防的博客
04-13 2788
Vite 和 Next.js 是两个不同类型的前端工具,它们各自的用途、架构和适用场景有所不同。Vite 是一个现代前端构建工具,主要用于开发和打包前端项目(如 Vue、React 等)。它由 Vue 的作者 Evan You 开发,核心特点是快速启动、按需编译,并且基于 ES 模块(ESM)。Vite 适用于构建前端 SPA(单页应用),并不包含服务端渲染(SSR)或全栈开发能力。
任意文件读取漏洞复现
来日可期的博客
08-31 5637
任意文件上传漏洞指的是攻击者可以通过绕过应用程序的文件上传功能,向服务器上传恶意文件,包括脚本文件、木马程序等,从而执行任意代码或获取系统敏感信息。
CVE-2025-31486 Vite开发服务器任意文件读取漏洞复现
渗透之路,攻防之间皆学问
04-11 1077
漏洞是由于 Vite 开发服务器在处理特定 URL 求时,未对求路径进行严格的安全检查和限制所致。攻击者可以利用这一漏洞绕过保护机制,未经授权地访问项目根目录之外的敏感文件
Vite存在任意文件读取漏洞(CVE-2025-30208)
缘梦未来的博客
03-26 449
Vite 是一款现代化的前端开发构建工具,它提供了快速的开发服务器和高效的构建能力,广泛应用于 Vue.js 项目的开发过程中
CVE-2025-30208 Vite开发服务器任意文件读取漏洞复现
渗透之路,攻防之间皆学问
04-10 2068
Vite 是一个现代化的前端构建工具,由 Vue.js 创始人尤雨溪开发,旨在提供更快的开发体验和高效的构建流程。注意:旧版本Vite开发服务器默认端口为3000,新版本默认端口为5173,注意区分。此漏洞存在是由于在处理URL求时,Vite开发服务器未严格验证路径,导致未经身份验证的攻击者可以构造特殊的URL来获取项目根目录之外的敏感文件。需要注意的是,只有那些明确将Vite开发服务器暴露到网络(使用--host或server.host配置选项)的应用程序才会受到此漏洞的影响。
Vite 任意文件读取漏洞(CVE-2025-31486)
李同學的安全圈
04-08 731
Vite 作为一款前沿的前端构建工具,巧妙借助浏览器原生 ES 模块导入功能,打造出极速响应的开发服务器,显著提升构建性能。其核心目标在于全方位优化开发体验,凭借即时模块热更新(HMR)等先进技术,让开发者能够更高效地投入到项目开发中,极大地缩短开发周期,提升开发效率。此漏洞允许未授权的攻击者通过构造恶意 HTTP 求,对任意文件进行读取操作,进而可能导致系统内敏感信息泄露。
漏洞预警:关于Vite任意文件读取漏洞【CVE-2025-30208】&【CVE-2025-31125】安全预警!
weixin_47946540的博客
06-06 574
Vite 开发服务器在处理特定类型的 URL 求时,未对文件系统路径的访问进行严格校验和限制。攻击者可以通过构造特殊路径绕过路径限制机制,实现对服务器本地任意文件读取漏洞编号:【CVE-2025-30208】&【CVE-2025-31125】。
Vite开发服务器任意文件读取
muxixin的博客
03-30 371
攻击者可利用CVE-2025-30208该漏洞绕过开发服务器的保护机制,只要文件存在就可以非法读取服务器上的文件,包括项目源码、敏感配置文件等,导致严重的数据泄露风险。改为想要读取文件路径,只要服务器存在,即可直接读取文件内容。目前官方已有课更新的版本,建议升级最新版本。
智能AC管理系统HTTPD-AC 1.0服务存在未授权访问漏洞
nnn2188185的博客
09-19 393
微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发智能AC管理系统HTTPD-AC 1.0服务。
Vite-CVE-2025-30208漏洞复现与漏洞分析
worldanswer的博客
04-03 1130
Vite任意文件读取漏洞CVE-2025-30208
任意文件读取漏洞
qq_64470109的博客
03-28 384
fofa语句:body="/@vite/client"
任意文件读取/下载漏洞总结
热门推荐
未完成的歌~的博客
04-01 2万+
任意文件读取/下载漏洞(Arbitrary File Read/Download Vulnerability),是指攻击者可以通过某些漏洞,绕过应用程序的限制,直接读取或下载应用程序之外的文件。这种漏洞通常是由于应用程序没有对用户输入进行充分的验证和过滤而导致的。攻击者可以通过构造恶意的求来利用该漏洞,从而读取或下载他们本来无权访问的文件,如密码、私钥、证书等,会提供攻击者更多可用信息,提高被入侵的风险。
CVE-2025-30208Vite开发服务器任意文件读取漏洞
m0_63017297的博客
09-19 232
Vite开发服务器存在任意文件读取漏洞(CVE-2025-30208)
Vite 开发服务器漏洞(CVE-2025-30208)
2301_78554096的博客
03-27 769
Vite 开发服务器漏洞漏洞危害,漏洞再现,FOFA,修复建议
CVE-2025-30208(文件读取漏洞复现
ljh123321ljh的博客
03-30 1351
漏洞源于Vite在处理URL查询参数时的逻辑缺陷。当求路径包含特定参数(**如?import&raw?**)时,Vite对URL尾部分隔符(如?和&)的正则匹配不严格,导致安全检查被绕过。中存在的一个高危逻辑漏洞,允许攻击者通过构造特殊的URL绕过文件访问限制,读取服务器上的任意文件(如配置文件、密钥、数据库凭据等)。CVE-2025-30208是。2.在fofa搜索,寻找存在漏洞ip。3.尝试传参,得到相关信息。
任意文件读取漏洞复现
weixin_58954236的博客
09-02 7403
一些网站的需求,可能会提供文件查看与下载的功能。如果对用户查看或下载的文件没有限制或者限制绕过,就可以查看或下载任意文件。这些文件可以是漂代码文件,配置文件,敏感文件等等。任意文件读取与下载可能形式不同,但是从本质上讲读取与下载没有区别,从权限角度来讲,读取与下载都需要读权限。
如何在 Vite 中配置开发服务器限制文件访问?
最新发布
12-16
<think>我们正在使用Vite,需要配置开发服务器(dev server)以限制文件系统的访问,只允许访问指定的目录:'src'、'public'、'node_modules' 在Vite中,我们可以通过配置`server.fs.allow`选项来实现。该选项用于指定哪些目录可以被服务。默认情况下,Vite会允许访问项目根目录以及根目录下的所有文件。但是,为了安全起见,我们可能需要限制只允许访问特定目录。 根据Vite官方文档([Vite Server Options](https://vitejs.dev/config/server-options.html#server-fs-allow)),`server.fs.allow`是一个数组,可以设置多个路径。我们可以设置允许访问的目录为:'src'、'public'、'node_modules'。 注意:在配置路径时,我们通常使用绝对路径。我们可以使用`path.resolve`来解析绝对路径。 配置示例(在vite.config.js中): </think> ### Vite 开发服务器配置文件访问限制方法 在 Vite 中配置开发服务器限制文件访问,可通过 `server.fs.allow` 选项实现目录白名单控制。以下是详细配置步骤: #### 基础配置方案 ```javascript // vite.config.js import { defineConfig } from 'vite' import path from 'path' export default defineConfig({ server: { fs: { // 设置允许访问的目录白名单 allow: [ path.resolve(__dirname, 'src'), // 源码目录 path.resolve(__dirname, 'public'), // 静态资源目录 path.resolve(__dirname, 'node_modules') // 依赖目录 ] } } }) ``` #### 安全增强配置 ```javascript // vite.config.js import { defineConfig } from 'vite' import path from 'path' export default defineConfig({ server: { fs: { allow: [ // 使用严格路径解析(推荐) path.resolve(__dirname, 'src'), path.resolve(__dirname, 'public'), path.resolve(__dirname, 'node_modules'), // 允许访问 .env 开发环境配置(按需添加)[^1] path.resolve(__dirname, '.env.development') ], // 禁止访问项目根目录外的文件安全加固) strict: true } }, // 防止敏感文件泄露(可选) publicDir: false, // 禁用默认 public 目录 build: { rollupOptions: { external: [/\.env.*$/] // 排除环境配置文件 } } }) ``` #### 配置说明 1. **路径解析**: - 使用 `path.resolve()` 确保绝对路径 - 默认允许访问当前工作目录(`process.cwd()`)[^2] 2. **敏感文件保护**: - 通过 `strict: true` 阻止访问项目根目录外的文件 - 使用 `publicDir: false` 禁用默认静态目录 - 在构建配置中排除 `.env` 文件 3. **特殊目录处理**: - `node_modules` 必须显式声明(Vite 默认不限制) - 允许 `.env.development` 确保开发环境变量可用[^1] #### 验证方法 创建测试文件 `test-restricted-access.js`: ```javascript import fs from 'fs'; const testPaths = [ '/src/main.js', // ✅ 应允许 '/public/logo.png', // ✅ 应允许 '/node_modules/vue/package.json',// ✅ 应允许 '/.env', // ❌ 应阻止(安全) '/etc/passwd', // ❌ 应阻止(系统文件) '../config.json' // ❌ 应阻止(上级目录) ]; testPaths.forEach(p => { try { fs.readFileSync(p); console.log(`✅ 访问成功: ${p}`); } catch (e) { console.log(`❌ 访问阻止: ${p} (${e.code})`); } }); ``` #### 常见问题解决 **vue-router 模块加载错误**: 当出现 `Uncaught SyntaxError` 时,检查是否因路径限制导致模块加载失败[^2]: ```javascript // 确保 node_modules 在允许列表中 allow: [path.resolve(__dirname, 'node_modules')] ``` **路径解析问题**: 使用 `path.resolve()` 替代相对路径: ```javascript // ❌ 错误写法(可能导致路径解析失败) allow: ['./src', './public'] // ✅ 正确写法 allow: [path.resolve(__dirname, 'src')] ``` 此配置通过 Vite 内置的文件服务限制机制实现安全控制,无需额外依赖,是开发环境下的最佳实践方案。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值