Vite 任意文件读取漏洞(CVE-2025-30208)全网测绘分析
Vite 任意文件读取漏洞(CVE-2025-30208)全网测绘分析
360Quake空间测绘 360Quake空间测绘 2025-03-28 16:43
一、漏洞概述
CVE-2025-30208 是 Vite 开发服务器中存在的高危任意文件读取漏洞,攻击者可通过构造特定 URL 参数绕过文件访问控制机制,读取服务器上的敏感文件(如 /etc/passwd
、C:\windows\win.ini
等)。
该漏洞主要影响以下版本:
6.2.0 <= Vite <= 6.2.2
6.1.0 <= Vite <= 6.1.1
6.0.0 <= Vite <= 6.0.11
5.0.0 <= Vite <= 5.4.14
Vite <= 4.5.9
漏洞成因
:
Vite 的 @fs
机制本用于限制对非白名单目录的访问,但其在 URL 解析时未正确处理 ?raw??
或 ?import&raw??
等查询参数,导致攻击者可绕过 server.fs.allow
限制,直接读取任意文件内容。
二、漏洞利用方式
攻击者通过以下步骤实施攻击:
1. 构造恶意请求
:GET /@fs/etc/passwd?import&raw??
正常请求会被拒绝(HTTP 403),但添加特殊参数后可直接读取文件。
- 获取敏感信息
:
成功利用后可泄露源码、SSH 密钥、数据库凭证等,甚至可能进一步渗透内网。
三、影响范围
根据360Quake
全网测绘数据:
• 国内风险资产
:31,462 个,关联 IP 10,305 个。
• 全球风险资产
:154,564 个,关联 IP 56,103 个。
• 高危场景
:仅当 Vite 开发服务器通过 –host
或 server.host
暴露至公网时,漏洞可被利用。
四、修复建议
- 立即升级
:
官方已发布修复版本,建议升级至以下版本:
• Vite 6.2.3、6.1.2、6.0.12、5.4.15、4.5.10。
- 临时缓解措施
:
• 限制开发服务器仅本地访问,禁用 –host
参数。
• 通过防火墙或 Nginx 拦截包含 ?raw??
的请求。
• 启用身份认证(如 HTTP Basic Auth)。
五、全网测绘方法
- 资产发现
:
使用 360Quake
搜索 body:”/@vite/client”
,可定位暴露的 Vite 开发服务器。
- 漏洞验证
:
结合公开 POC 脚本(如 CVE-2025-30208.yaml
)扫描目标资产。
- 威胁情报联动
:
通过威胁情报平台获取关联风险资产分布图。
六、总结
CVE-2025-30208 漏洞揭示了开发环境暴露于公网的严重风险。建议开发者:
1. 优先升级
:避免使用旧版本 Vite。
-
最小化攻击面
:生产环境禁用开发服务器的公网暴露。 -
定期审计
:结合自动化工具开展资产测绘与漏洞扫描。
免责声明
:本文内容仅供技术研究与安全防护参考,请勿用于非法用途。传播或利用相关信息导致的后果由使用者自行承担。