文章预览
0x00 背景介绍 3月26日 ,天融信阿尔法实验室监测到Vite 官方披露了一个任意文件读取漏洞(CVE-2025-30208),目前该漏洞POC已公开,建议受影响用户尽快升级。 0x01 漏洞描述 Vite 是一个现代前端构建工具,它旨在提供快速的开发体验,尤其适合现代 JavaScript 框架(如 Vue),凭借其快速的启动时间和流畅的开发体验,成为越来越多开发者的首选。 该漏洞因为`@fs` 拒绝访问 Vite 服务允许列表之外的文件。在 URL 中添加 `?raw??` 或 `?import ??` 可绕过此限制并返回文件内容(如果存在)。之所以存在此绕过,是因为尾随分隔符(例如 `?`)在多个地方被删除,但在查询字符串正则表达式中没有考虑到这一点。 导致攻击者可以绕过保护机制,非法访问项目根目录外的敏感文件。 0x02 漏洞编号 CVE-2025-30208 0x03 漏洞等级 高危 0x04 受影响版本 6.2.0 < = Vite < = 6.2.2 6.1.0 < = Vite
………………………………
