【处置手册】Vite任意文件读取漏洞(CVE-2025-30208)

文章预览

通告编号:NS-2025-0017-1 2025-03-31 TA G： Vite、任意文件读取、CVE-2025-30208 漏洞危害： 攻击者利用此漏洞，可实现任意文件读取。  版本： 1.1 1 漏洞概述 近日，绿盟科技CERT监测到Vite发布安全公告，修复了Vite任意文件读取漏洞(CVE-2025-30208)；由于Vite开发服务器在处理URL请求时未对路径进行严格校验，未经身份验证的攻击者可以通过构造特殊的URL绕过路径访问限制，从而 读取目标服务器上的任意文件 。目前漏洞细节与PoC已公开，请相关用户尽快采取措施进行防护。 Vite是一个现代化的前端开发与构建工具，提供极速的开发服务器启动速度和高效的热更新机制，支持多框架开发，如Vue、React等。因其出色的性能和丰富的插件生态，成为前端开发领域的热门选择。 绿盟科技已成功复现此漏洞： 参考链接： https://github.com/vitejs/vite/security/advisories/GHSA-x574-m823-4x7w ………………………………