资产居多 | Vite 任意文件读取 【CVE-2025-30208】

免责声明  由于传播、利用WK安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，WK安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

    CVE-2025-30208是Vite开发服务器中发现的一个高危漏洞，允许攻击者通过特定的URL参数绕过文件系统访问限制，读取任意文件内容，包括敏感信息，如源代码、SSH密钥、数据库凭据和用户数据。 

    Vite是一个现代化的前端开发构建工具，广泛应用于Vue.js等项目的开发中。在其开发服务器模式下，Vite提供了@fs机制，用于访问服务允许范围内的文件。通过在URL中添加特定参数，攻击者可以绕过原有的访问限制，读取服务器上任意位置的文件内容。 

受影响的Vite版本包括：

4.5.9及之前版本5.0.0至5.4.146.0.0至6.0.116.1.0至6.1.16.2.0至6.2.2

URL+/etc/passwd?raw   目前POC脚本已公开，后台回复"脚本"获取

资产语法：web.body="/@vite/client"

1. 立即升级：将Vite升级至上述修复版本或更高版本，以消除该漏洞。

2. 限制访问：避免在生产环境中直接暴露Vite开发服务器。仅在受信任的内部网络中使用。

3. 网络防护：在防火墙或反向代理（如Nginx）中设置访问控制策略，限制对Vite开发服务器的访问，确保仅允许受信任的IP地址访问。

4. 请求过滤：在代理层或服务器配置中，拦截包含?raw??或?import&raw??等可疑参数的请求，防止恶意利用。

    CVE-2025-30208漏洞揭示了在开发环境中暴露开发服务器可能带来的安全风险。开发者应及时升级Vite至最新版本，并采取适当的安全措施，防止未经授权的访问，保护敏感数据的安全。