Vite CVE-2025-30208 安全漏洞

Vite CVE-2025-30208 安全漏洞

一、漏洞概述

CVE-2025-30208 是 Vite（一个前端开发工具提供商）在特定版本中存在的安全漏洞。此漏洞允许攻击者通过特殊的 URL 参数绕过对文件系统的访问限制，从而获取任意文件内容（包括非 Vite 服务目录范围外的文件）。
1. 漏洞原理

• Vite 在开发服务器模式下提供了 @fs 用于访问服务允许范围内的文件。
  
• 本应对超出范围的文件请求返回 403 Restricted；然而，在请求 URL 中添加 ?raw?? 或 ?import&raw?? 时，可以绕过原有检查。
  
• 这是由于在多个处理环节中会移除类似 ? 的结尾分隔符，但并未在查询字符串的正则匹配中考虑这一点；攻击者可利用这一缺陷读取目标文件内容。
  

2. 漏洞影响

• 在特定配置下，攻击者能够访问服务器上任意位置的文件（如 /tmp/secret.txt），并将内容返回给浏览器。
  
• 仅在 显式暴露 Vite 开发服务器（如使用 --host 或在 server.host 中配置对外可访问）时，外部才可直接发起请求进行文件读取。
  
• 如果文件中包含敏感数据（如凭据、配置等），则可能造成信息泄露。
  

二、受影响范围

1. 影响版本

根据官方与社区信息，以下 Vite 版本均存在该漏洞：
<ul><blockquote>
= 6.2.0,