关于CVE-2025-30208/Vite 任意文件读取漏洞的漏洞预警

admin 2025年3月27日19:24:14评论3 views字数 460阅读1分32秒阅读模式
官方产品描述
Vite是一种新型前端构建工具,能够显著提升前端开发体验;它主要由两部分组成:
一个开发服务器,它基于 原生 ES 模块 提供了 丰富的内建功能,如速度快到惊人的 模块热更新(HMR)
一套构建指令,它使用 Rollup 打包你的代码,并且它是预配置的,可输出用于生产环境的高度优化过的静态资源。
影响版本:
6.2.0 <= vite < 6.2.3
6.1.0 <= vite < 6.1.2
6.0.0 <= vite < 6.0.12
5.0.0 <= vite < 5.4.15
vite < 4.5.10
漏洞危害:
攻击者利用漏洞绕过开发服务器的保护机制,非法访问项目根目录外的敏感文件,目前比较显著的特征就是任意文件读取(/etc/passwd?raw)
漏洞复现:
直接访问漏洞地址,拼接路径就可以
关于CVE-2025-30208/Vite 任意文件读取漏洞的漏洞预警
目前github已经公布了很多脚本,大家可以自行下载,测试了一些个站点,大概有20%的站点存在此问题,并没有网上流传的影响了80%的用户,还是有些夸大其词

原文始发于微信公众号(我不懂安全):关于CVE-2025-30208/Vite 任意文件读取漏洞的漏洞预警

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月27日19:24:14
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   关于CVE-2025-30208/Vite 任意文件读取漏洞的漏洞预警https://cn-sec.com/archives/3890748.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息