Vite 存在任意文件读取漏洞（CVE-2025-30208）

近日，Vite  官方披露了一个中高风险安全漏洞（CVE-2025-29927），攻击者可以利用该漏洞读取服务器敏感文件，建议您及时开展安全风险自查。

Vite 是一个现代的前端构建工具，旨在提高开发效率。它由 Vue.js 的作者尤雨溪及其团队开发，并于2021年发布。Vite 的核心设计理念是利用现代浏览器对 ES 模块（ESM）的支持，提供了一个更快、更轻量级的开发服务器以及高效的构建流程。

据描述，Vite 在版本 6.2.3、6.1.2、6.0.12、5.4.15 和 4.5.10 之前的版本中存在一个安全漏洞。该漏洞与 @fs 模块有关，它原本用于限制对 Vite 服务允许列表之外文件的访问。然而，通过在 URL 后添加 “?raw??” 或 “?import&raw??”，可以绕过这一限制并返回文件内容（如果文件存在的话）。这是因为尾部的分隔符如 “?” 在多个地方被移除，但没有在查询字符串的正则表达式中考虑到这种情况。这导致任意文件的内容可能会被返回到浏览器中。

需要注意的是，只有那些明确将 Vite 开发服务器暴露在网络中的应用（即使用了 --host 参数或 server.host 配置选项的应用）才会受到影响。此问题已在版本 6.2.3、6.1.2、6.0.12、5.4.15 和 4.5.10 中得到修复。

漏洞影响的产品和版本：

Vite >=6.2.0, <=6.2.2

>=6.1.0, <=6.1.1

>=6.0.0, <=6.0.11

>=5.0.0, <=5.4.14

<=4.5.9

据daydaymap数据显示互联网存在33,652个资产，国内风险资产分布情况如下：

临时缓解方案：

部署针对项目的监控系统：阻止包含“@fs” 或 “?import&raw??” 的外部用户请求到达您的应用程序。

升级修复：

目前官方已发布修复安全补丁