已复现】Vite 任意文件读取漏洞（CVE-2025-30208）

长亭应急响应 黑伞安全 2025-03-27 17:07

Vite 是一个现代化的前端构建工具，旨在提供快速的开发服务器和优化的构建流程，广泛用于开发 JavaScript 和 TypeScript 的 Web 应用程序。2025 年 3 月，Vite 官方发布安全补丁，修复了一个任意文件读取漏洞（CVE-2025-30208）。该漏洞允许攻击者通过构造特殊 URL 绕过 Vite 的文件访问限制，读取服务器上的任意文件内容。虽然该漏洞的利用需要特定的服务器配置，但由于许多流行前端框架集成了 Vite，其潜在影响范围极广，建议受影响的用户立即修复该漏洞。
漏洞描述

Description

01

漏洞成因漏洞源于 Vite 在处理带有特定查询参数的 URL 时，正则表达式和参数处理逻辑存在缺陷，导致安全检查被绕过。攻击者利用这一缺陷，通过精心构造的请求路径，访问服务器上不在允许访问列表中的文件。
利用条件Vite 开发服务器需通过 –host 或 server.host 配置选项暴露到网络（默认仅限本地访问）。漏洞影响任意文件读取：攻击者可读取服务器上的敏感文件（如配置文件、密钥文件等），可能导致凭据泄露或其他安全风险。处置优先级：高漏洞类型：逻辑漏洞漏洞危害等级：高触发方式：网络远程权限认证要求：无需权限系统配置要求：非默认配置，需将 Vite 开发服务器暴露到互联网上用户交互要求：无需用户交互利用成熟度：POC/EXP 已公开修复复杂度：低，官方提供升级修复方案影响版本 Affects 026.2.0 <= vite < 6.2.36.1.0 <= vite < 6.1.26.0.0 <= vite < 6.0.125.0.0 <= vite < 5.4.15vite < 4.5.10解决方案 Solution 03临时缓解方案如果暂时无法升级，可以采取以下措施降低风险：1. 限制网络访问：将 –host 或 server.host 设置为 localhost，确保开发服务器仅限本地访问。2. 严格文件权限：确保敏感文件不可被 Vite 进程读取（例如通过操作系统权限控制）。升级修复方案Vite 官方已发布安全补丁，修复版本包括：6.2.3、6.1.2、6.0.12、5.4.15、4.5.10请尽快通过 npm update vite 或手动升级到以上版本以修复漏洞。漏洞复现Reproduction 04产品支持Support05云图：默认支持该产品的指纹识别，同时支持该漏洞的原理PoC检测洞鉴：预计3.28发布更新支持该漏洞检测雷池：已发布自定义规则支持该漏洞利用行为的检测全悉：默认支持漏洞利用行为检测时间线 Timeline 063月24日 互联网公开披露该漏洞3月26日 长亭应急安全实验室复现漏洞3月27日 长亭安全应急响应中心发布通告参考资料：[1].https://github.com/advisories/GHSA-x574-m823-4x7w

长亭应急响应服务

全力进行产品升级

及时将风险提示预案发送给客户

检测业务是否受到此次漏洞影响

请联系长亭应急服务团队

7*24小时，守护您的安全

第一时间找到我们：