Vite任意文件读取漏洞CVE-2025-30208

声明

内容仅用于学习交流自查使用，由于传播、利用本公众号所提供的POC信息及POC对应脚本而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号nday poc及作者不为此承担任何责任，一旦造成后果请自行承担！如文章有侵权烦请及时告知，我们会立即删除文章并致歉。谢谢！     

漏洞背景

Vite 是一款基于原生 ES 模块的现代化前端构建工具，专为 Vue、React 等框架设计，支持快速启动、按需编译和热更新，显著提升了前端开发效率，然而，其开发服务器（Dev Server）在特定配置下存在安全缺陷，导致攻击者可绕过路径访问限制，读取服务器上的任意敏感文件。

漏洞机制

当 Vite 开发服务器通过 --host 参数或配置 server.host 暴露到公网时，攻击者可通过构造包含特殊参数的 URL（如 ?raw?? 或 ?import&raw??）绕过 @fs 路径保护机制。例如，访问 http://[目标]/path?raw?? 可直接绕过 Vite 对文件系统的访问控制，导致任意文件读取：攻击者可读取系统敏感文件（如 /etc/passwd、/etc/shadow）或项目外的配置文件     

影响范围

6.2.0 <= Vite <= 6.2.2

6.1.0 <= Vite <= 6.1.1

6.0.0 <= Vite <= 6.0.11

5.0.0 <= Vite <= 5.4.14

Vite <= 4.5.9

搜索引擎

Fofa body="/@vite/client"

漏洞复现

检测工具

Afrog 公众号回复 CVE-2025-30208 获取afrog poc详情

修复建议

目前官方已发布安全更新，建议用户尽快升级至最新版本。             下载地址：              https://github.com/vitejs/vite/releases

原文始发于微信公众号（渗透相对论）：【漏洞复现】Vite任意文件读取漏洞CVE-2025-30208