CVE-2025-30208-Vite任意文件读取漏洞服批量漏洞扫描

原创 泷羽Sec-track 泷羽Sec-track 2025-03-29 10:37

声明！本公众号及团队所做的文章及工具分享仅仅只是供大家学习交流为主，切勿用于非法用途，如有任何触犯法律的行为，均与本人及团队无关！！！

漏洞信息

CVE-2025-30208是Vite开发服务器
中存在的一个高危逻辑漏洞，允许攻击者通过构造特殊的URL绕过文件访问限制，读取服务器上的任意文件（如配置文件、密钥、数据库凭据等）。该漏洞的利用条件需满足两点：开发服务器通过–host或server.host
配置暴露至网络（非默认配置），且使用受影响版本的Vite由于Vite广泛应用于Vue、React
等主流前端框架，潜在影响范围涉及数十万级资产。

漏洞原理

漏洞源于Vite在处理URL查询参数时的逻辑缺陷。当请求路径包含特定参数（如?raw??或?import&raw??）
时，Vite对URL尾部分隔符（如?
和&
）的正则匹配不严格，导致安全检查被绕过。例如，攻击者可构造类似/@fs/etc/passwd?raw??的请求
，利用@fs
机制（本用于访问项目允许列表内的文件）读取系统敏感文件官方修复方案通过正则表达式/[?&]+$/
移除URL末尾的冗余分隔符，从而阻断绕过路径。

漏洞特征

• Fofa测绘语句:

body="/@vite/client"

• 鹰图Hunter测绘语句:

web.body="/@vite/client"

影响范围

• 6.2.0 <= Vite <= 6.2.2

• 6.1.0 <= Vite <= 6.1.1

• 6.0.0 <= Vite <= 6.0.11

• 5.0.0 <= Vite <= 5.4.14

• Vite <= 4.5.9

漏洞复现

手工复现

Linux下

image-20250329100437887

windwos下

http://目标IP:端口/@fs/c://windows/win.ini?import&raw??

poc复现

POC开源网站：也可以回台回复
CVE-2025-30208获取

https://github.com/ThumpBo/CVE-2025-30208-EXP

对单个网站利用

image-20250329101734949

这里可以使用-f
指定多个ip扫描，比如利用fofa特征拿到的ip资产，导出后进行扫描

python exp.py -f ip.txt

扫描结果将会匹配到的账号密码保存在 output.txt
 中，其中 IP.txt
 格式为 http://[ip]/[domain]，一行一个