Vite-CVE-2025-30208漏洞复现与漏洞分析

最新推荐文章于 2025-11-12 13:25:48 发布
原创 最新推荐文章于 2025-11-12 13:25:48 发布 · 1.1k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端框架 #网络安全 #威胁分析

Vite任意文件读取漏洞CVE-2025-30208

前言

Vite 是一款高效的现代化前端构建工具,也就是vue,React等创建项目的时候,会添加vite进行构建。

在这里插入图片描述

漏洞描述

Vite 在版本 6.2.3、6.1.2、6.0.12、5.4.15 和 4.5.10 之前的版本中存在一个安全漏洞。该漏洞与 @fs 模块有关,它原本用于限制对 Vite 服务允许列表之外文件的访问。然而,通过在 URL 后添加 “?raw??” 或 “?import&raw??”,可以绕过这一限制并返回文件内容(如果文件存在的话)。这是因为尾部的分隔符如 “?” 在多个地方被移除,但没有在查询字符串的正则表达式中考虑到这种情况。这导致任意文件的内容可能会被返回到浏览器中。

漏洞前提

即使用了 --host 参数或 server.host 配置选项的应用

补充

–host 参数的作用是在本地研发阶段进行测试使用也就是可以使用localhost访问自己服务

一般添加在package.json当中

在这里插入图片描述

受影响的版本

6.2.0 <= vite < 6.2.3
6.1.0 <= vite < 6.1.2
6.0.0 <= vite < 6.0.12
5.0.0 <= vite < 5.4.15
vite < 4.5.10

环境搭建

我采取的是node 21.6.2版本,vite6.2.0

漏洞复现

漏洞过程很简单,只不过搞清楚一下他的流程和修复代码,界面不用管,这只是一个我的毕设

在这里插入图片描述

默认情况下你可以看浏览器图标,有的情况下,比较懒,vite的图标就会显示在上面

在这里插入图片描述

如果你访问一个文件夹就会返回500,并且他的日志会进行记录

在这里插入图片描述

当然也包括访问不存在的文件的情况下

在这里插入图片描述

唯一一个比较好的好处就是他不会记录ip,前端的一个弊端,除非特意做了这样的处理

在这里插入图片描述

如果你拼接处的是有效路径他就会返回文件中的内容到界面当中

漏洞分析

根据官方给的版本,6.2.3是已经修复后的,所以我们拿6.2.3和6.2.1进行比较

最为明显的是下面一系列代码

在这里插入图片描述

删掉了一部分代码,新增加了一部分代码

处理情况下是对URL进行了处理,但具体处理了什么?

(rawRE.test(url) || urlRE.test(url)) &&
        !ensureServingAccess(url, server, res, next)
删除的这段代码,是对应的--host部分,让其在服务器上可以访问到自己,看是否符合特定模式

新增加的代码,我们先融合

const trailingQuerySeparatorsRE = /[?&]+$/
const urlWithoutTrailingQuerySeparators = url.replace(
  trailingQuerySeparatorsRE,
  '',
)

(rawRE.test(urlWithoutTrailingQuerySeparators) ||
  urlRE.test(urlWithoutTrailingQuerySeparators)) &&
!ensureServingAccess(
  urlWithoutTrailingQuerySeparators,
  server,
  res,
  next,
)

trailingQuerySeparatorsRE是一个正则匹配,匹配 URL 字符串尾部的一个或多个查询分隔符(即 ?&),现在就很明确,?import&raw??,是为了拦截这部分的符号

url.replace(trailingQuerySeparatorsRE, ‘’) 是为了拦截分隔符

比如,urlexample.com/page?&param=value& 时,urlWithoutTrailingQuerySeparators 会变成 example.com/page?param=value,去掉了尾部多余的 &?

rawRE.test(urlWithoutTrailingQuerySeparators) || urlRE.test(urlWithoutTrailingQuerySeparators)部分

这里 rawREurlRE 是两个正则表达式,用于检测 urlWithoutTrailingQuerySeparators 是否匹配某些特定的 URL 模式。

rawRE.test(urlWithoutTrailingQuerySeparators),检查是否是原始资源,比如CSS,HTML,JS等

urlRE.test(urlWithoutTrailingQuerySeparators),检查是否是请求还是图片等等

ensureServingAccess 函数用于检查 urlWithoutTrailingQuerySeparators 是否可以在服务器上访问。它会验证,也就是会出现Internal server error: ENOENT: no such file or directory等问题或者是返回成功

修复方案

升级:https://github.com/vitejs/vite/releases

临时缓解方案

部署对应项目:拦截“?import&raw??” 的外部用户请求

参考链接

返回成功

修复方案

升级:https://github.com/vitejs/vite/releases

临时缓解方案

部署对应项目:拦截“?import&raw??” 的外部用户请求

参考链接

https://avd.aliyun.com/detail?id=AVD-2025-30208&timestamp__1384=CuGQDILGOGCDkDl1%2BG7KD8FdWoNBjeD

yyoukill
关注
CVE-2025-30208 Vite开发服务器任意文件读取漏洞复现
渗透之路,攻防之间皆学问
04-10 2068
Vite 是一个现代化的前端构建工具,由 Vue.js 创始人尤雨溪开发,旨在提供更快的开发体验和高效的构建流程。注意:旧版本Vite的开发服务器默认端口为3000,新版本默认端口为5173,请注意区分。此漏洞的存在是由于在处理URL请求时,Vite开发服务器未严格验证路径,导致未经身份验证的攻击者可以构造特殊的URL来获取项目根目录之外的敏感文件。需要注意的是,只有那些明确将Vite开发服务器暴露到网络(使用--host或server.host配置选项)的应用程序才会受到此漏洞的影响。
Vite 存在任意文件读取漏洞(CVE-2025-30208)
qq_43540348的博客
03-27 1488
Vite 是一个面向现代 Web 开发的轻量级前端构建工具,由 Vue.js 作者尤雨溪团队打造。它基于原生 ES 模块(ESM)提供极速的开发服务器启动和热更新,利用浏览器原生支持的特性实现按需编译,无需打包,显著提升开发效率。生产环境则通过 Rollup 进行高效构建,支持 TypeScript、JSX、CSS 预处理器等主流工具链,同时提供丰富的插件生态。Vite 以"快"为核心,重新定义了前端开发体验,尤其适合单页应用(SPA)、库工具等场景。
Vite CVE-2025-30208 安全漏洞
guoqkmiss的博客
03-27 922
CVE-2025-30208Vite(一个前端开发工具提供商)在特定版本中存在的安全漏洞。此漏洞允许攻击者通过特殊的 URL 参数绕过对文件系统的访问限制,从而获取任意文件内容(包括非 Vite 服务目录范围外的文件)。
Vite开发服务器漏洞预警!启动即裸奔,低门槛攻击可致系统数据泄露
m0_46699477的博客
03-26 673
近日,Vite 官方披露了一个中高风险安全漏洞,分配编号为CVE-2025-30208,攻击者可利用该漏洞绕过开发服务器的保护机制,非法访问项目根目录外的敏感文件。Vite团队反应迅速,立即在2025年3月24日发布补丁,Goby安全团队收到该情报后立即响应测试。
Vite的“信任”裂痕:深入剖析CVE-2025-30208任意文件读取漏洞
专注于网络安全攻防技术与安全运营(SecOps)实践。
11-12 1234
本文将揭示在多个Vite版本中(<6.2.3, <5.4.15等),此安全机制存在一个绕过缺陷。攻击者可以通过在/@fs/路径前缀后,巧妙地追加?raw??或?import&raw??等包含尾随查询分隔符的Payload,来绕过Vite的正则校验和访问控制检查,从而实现任意文件读取(Path Traversal),窃取服务器上的敏感数据(如/etc/passwd、源代码、私钥等)。本文将从防御者视角,结合源码比对,详细分析漏洞的成因、利用手法,以及官方版本是如何通过规范化URL来修补这一“裂痕”的。
CVE-2025-30208Vite 开发服务器安全漏洞解析
sc35262的博客
04-13 286
CVE-2025-30208Vite 开发服务器中的一个安全漏洞,允许攻击者通过特殊的 URL 参数绕过文件系统访问限制,读取服务器上的任意文件。下面我们将详细介绍漏洞原理、影响范围、攻击条件以及解决方案。
CVE-2025-30208(文件读取)漏洞复现
ljh123321ljh的博客
03-30 1351
漏洞源于Vite在处理URL查询参数时的逻辑缺陷。当请求路径包含特定参数(**如?import&raw?**)时,Vite对URL尾部分隔符(如?和&)的正则匹配不严格,导致安全检查被绕过。中存在的一个高危逻辑漏洞,允许攻击者通过构造特殊的URL绕过文件访问限制,读取服务器上的任意文件(如配置文件、密钥、数据库凭据等)。CVE-2025-30208是。2.在fofa搜索,寻找存在漏洞ip。3.尝试传参,得到相关信息。
Vite 任意文件读取漏洞复现CVE-2025-31486)
iSee857的博客
04-07 826
漏洞源于 Vite 在处理带有特定查询参数的 URL 时,正则表达式和参数处理逻辑存在缺陷,导致安全检查被绕过。攻击者利用这一缺陷,通过精心构造的请求路径,访问服务器上不在允许访问列表中的文件。(CVE-2025-31486)
Vite 权限绕过导致任意文件读取漏洞复现CVE-2025-32395)(附脚本)
iSee857的博客
04-11 1111
开发服务器运行在 Node 或 Bun 上,则可以将任意文件的内容返回给浏览器。HTTP 1.1 规范 (RFC 9112) 不允许在 request-target 中使用 #。尽管攻击者可以发送此类请求。对于那些具有无效 request-line 的请求(包括 request-target),规范建议使用 400 或 301 拒绝它们。HTTP 2 也是如此(CVE-2025-32395)
Vite import存在任意文件读取漏洞CVE-2025-31125 附POC
nnn2188185的博客
04-22 230
微信公众号搜索:南风漏洞复现文库该文章 南风漏洞复现文库 公众号首发Vite框架
最新!!! CVE-2025-30208-Vite 安全漏洞
ZzzzZ123486的博客
03-28 652
本工具用于检测目标系统是否存在 CVE-2025-30208 漏洞。该漏洞允许攻击者通过特定路径读取服务器上的敏感文件(如 /etc/passwd 或 C:\windows\win.ini)。工具支持单个 URL 检测和批量检测,并可选使用 HTTP/HTTPS 代理。这里介一下payload?raw??和?import?raw??的关系。第一个payload适用于读取不带后缀的文件,第二个随意了。
CVE-2025-30208 漏洞预警! 附带检测工具
粘贴工程师的博客
03-27 621
攻击者只需在浏览器输入一个 URL,就可能会造成源码、SSH密钥、数据库账号、用户数据等目标机器上的任意文件信息泄露。如您在使用本工具的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。请您务必审慎阅读、充分理解各条款内容,特别是免除或者限制责任的条款,并选择接受或不接受。除非您已阅读并接受本协议所有条款,否则您无权下载、安装或使用本工具。如果您下载、安装、使用、修改本工具及相关代码,即表明您信任本工具。您的下载、安装、使用等行为即视为您已阅读并同意上述协议的约束。
CVE-2025-31486 Vite开发服务器任意文件读取漏洞复现
渗透之路,攻防之间皆学问
04-11 1077
漏洞是由于 Vite 开发服务器在处理特定 URL 请求时,未对请求路径进行严格的安全检查和限制所致。攻击者可以利用这一漏洞绕过保护机制,未经授权地访问项目根目录之外的敏感文件。
漏洞复现Vite 任意文件读取漏洞 CVE-2025-30208/CVE-2025-31125/CVE-2025-31486/CVE-2025-32395
仇辉攻防的博客
04-13 2788
Vite 和 Next.js 是两个不同类型的前端工具,它们各自的用途、架构和适用场景有所不同。Vite 是一个现代前端构建工具,主要用于开发和打包前端项目(如 Vue、React 等)。它由 Vue 的作者 Evan You 开发,核心特点是快速启动、按需编译,并且基于 ES 模块(ESM)。Vite 适用于构建前端 SPA(单页应用),并不包含服务端渲染(SSR)或全栈开发能力。
CVE-2025-30208】| Vite-漏洞分析复现
摘星怪sec的blog
03-28 4815
漏洞简介漏洞简介CVE-2025-30208Vite 开发服务器中的一个任意文件读取漏洞。该漏洞允许攻击者通过特定的 URL 参数绕过访问控制,从而读取服务器上的敏感文件(如或。
Vite 任意文件读取漏洞复现CVE-2025-31125)
iSee857的博客
04-03 648
漏洞源于 Vite 在处理带有特定查询参数的 URL 时,正则表达式和参数处理逻辑存在缺陷,导致安全检查被绕过。攻击者利用这一缺陷,通过精心构造的请求路径,访问服务器上不在允许访问列表中的文件。(CVE-2025-31125)
智能AC管理系统HTTPD-AC 1.0服务存在未授权访问漏洞
nnn2188185的博客
09-19 394
微信公众号搜索:南风漏洞复现文库 该文章 南风漏洞复现文库 公众号首发智能AC管理系统HTTPD-AC 1.0服务。
Vite 存在任意文件读取漏洞(CVE-2025-31125)
m0_50125527的博客
04-02 539
Vite 是一个面向现代 Web 开发的轻量级前端构建工具,由 Vue.js 作者尤雨溪团队打造。它基于原生 ES 模块(ESM)提供极速的开发服务器启动和热更新,利用浏览器原生支持的特性实现按需编译,无需打包,显著提升开发效率。生产环境则通过 Rollup 进行高效构建,支持 TypeScript、JSX、CSS 预处理器等主流工具链,同时提供丰富的插件生态。Vite 以"快"为核心,重新定义了前端开发体验,尤其适合单页应用(SPA)、库工具等场景。
Vite 任意文件读取漏洞分析复现 CVE-2025-30208
misu6的博客
03-27 3551
Vite前端开发工具提供商,在6.2.3、6.1.2、6.0.12、5.4.15和4.5.10之前的版本中存在漏洞。'@fs ‘拒绝访问Vite服务允许列表之外的文件。添加’?生的??‘或者’?进口和原料??'到URL绕过此限制并返回文件内容(如果存在)。存在此绕过是因为尾随分隔符,例如“?”在多个地方被删除,但不在查询字符串regex中考虑。任意文件的内容都可以返回到浏览器。只有将Vite dev服务器显式暴露给网络(使用“–Host”或“server. Host”配置选项)的应用程序才会受到影响。
漏洞 CVE-2025-12183 是什么漏洞
最新发布
12-02
- Vite的多个任意文件读取漏洞CVE-2025-30208, CVE-2025-31125, CVE-2025-31486, CVE-2025-32395)[^2] - DataEase的多个漏洞CVE-2025-48999, CVE-2025-49001, CVE-2025-49002)[^3] 用户所问的CVE-2025-12183...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值