一、漏洞概述
CVE-2025-30208 是 Vite 开发服务器中存在的高危任意文件读取漏洞,攻击者可通过构造特定 URL 参数绕过文件访问控制机制,读取服务器上的敏感文件(如 /etc/passwd、C:windowswin.ini 等)。
该漏洞主要影响以下版本:
6.2.0 <= Vite <= 6.2.2
6.1.0 <= Vite <= 6.1.1
6.0.0 <= Vite <= 6.0.11
5.0.0 <= Vite <= 5.4.14
Vite <= 4.5.9
漏洞成因:Vite 的 @fs 机制本用于限制对非白名单目录的访问,但其在 URL 解析时未正确处理 ?raw?? 或 ?import&raw?? 等查询参数,导致攻击者可绕过 server.fs.allow 限制,直接读取任意文件内容。
二、漏洞利用方式
攻击者通过以下步骤实施攻击:
-
构造恶意请求: GET /@fs/etc/passwd?import&raw??正常请求会被拒绝(HTTP 403),但添加特殊参数后可直接读取文件。
-
获取敏感信息:成功利用后可泄露源码、SSH 密钥、数据库凭证等,甚至可能进一步渗透内网。
三、影响范围
根据360Quake全网测绘数据:• 国内风险资产:31,462 个,关联 IP 10,305 个。• 全球风险资产:154,564 个,关联 IP 56,103 个。• 高危场景:仅当 Vite 开发服务器通过 --host 或 server.host 暴露至公网时,漏洞可被利用。
四、修复建议
-
立即升级:官方已发布修复版本,建议升级至以下版本:• Vite 6.2.3、6.1.2、6.0.12、5.4.15、4.5.10。 -
临时缓解措施:• 限制开发服务器仅本地访问,禁用 --host参数。• 通过防火墙或 Nginx 拦截包含?raw??的请求。• 启用身份认证(如 HTTP Basic Auth)。
五、全网测绘方法
-
资产发现:使用 360Quake 搜索 body:"/@vite/client",可定位暴露的 Vite 开发服务器。 -
漏洞验证:结合公开 POC 脚本(如 CVE-2025-30208.yaml)扫描目标资产。 -
威胁情报联动:通过威胁情报平台获取关联风险资产分布图。
六、总结
CVE-2025-30208 漏洞揭示了开发环境暴露于公网的严重风险。建议开发者:
-
优先升级:避免使用旧版本 Vite。 -
最小化攻击面:生产环境禁用开发服务器的公网暴露。 -
定期审计:结合自动化工具开展资产测绘与漏洞扫描。
免责声明:本文内容仅供技术研究与安全防护参考,请勿用于非法用途。传播或利用相关信息导致的后果由使用者自行承担。
原文始发于微信公众号(360Quake空间测绘):Vite 任意文件读取漏洞(CVE-2025-30208)全网测绘分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论