漏洞介绍:
Vite 是一个由 Evan You(Vue.js 作者)创建的 现代前端构建工具,旨在提供极速的开发体验和高效的构建性能。Vite 利用了现代浏览器支持的原生 ES 模块导入功能,并结合了高性能构建工具(如 esbuild 和 Rollup)进行优化。
漏洞影响:
Vite 开发服务器在处理特定类型的 URL 请求时,未对文件系统路径的访问进行严格校验和限制。攻击者可以通过构造特殊路径(如 /@fs/etc/passwd 或 /@fs/C:/Windows/System32/drivers/etc/hosts?raw)绕过路径限制机制,实现对服务器本地任意文件的读取。
漏洞影响范围
body="/@vite/client",全球数据统计top10:
漏洞编号:
漏洞等级:中危
受影响版本:
CVE-2025-30208:
Vite <= 4.5.9
5.0.0 <= Vite <= 5.4.14
6.0.0 <= Vite <= 6.0.11
6.1.0 <= Vite <= 6.1.1
6.2.0 <= Vite <= 6.2.2
CVE-2025-31125:
vite <= 4.5.10
5.0.0 <= vite <= 5.4.15
6.0.0 <= vite <= 6.0.12
6.1.0 <= vite <= 6.1.2
6.2.0 <= vite <= 6.2.3
漏洞类型:
文件读取
利用流程图:
漏洞复现:
Linux:
https://127.0.0.1:8888/@fs/etc/passwd?raw
Windows:
https://127.0.0.1:8080/@fs/C:/Windows/System32/drivers/etc/hosts?raw
漏洞验证:
修复建议:
- 升级 Vite 至 6.2.4 及以上版本,修复路径校验漏洞。
- 确保开发服务器不暴露在公网,限制仅本地访问。
- 通过反向代理或 WAF 拦截敏感目录穿越路径,作为额外防护。
参考引用:
1.https://nvd.nist.gov/vuln/detail/CVE-2025-30208
2.https://www.cve.org/CVERecord?id=CVE-2025-31125
作者:
gem-zhu、蚍蜉
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
