Vite任意文件读取漏洞分析与复现指南<\/h1>

漏洞概述<\/h2>
本漏洞是Vite开发服务器中存在的一个任意文件读取漏洞，攻击者可以通过精心构造的URL请求读取服务器上的任意文件，包括敏感系统文件如`C:\/Windows\/win.ini<\/code>等。<\/p>`

环境搭建<\/h2>


创建Vite项目：<\/p>
npm create vite@latest
<\/span><\/span><\/code><\/pre><\/li>

安装依赖：<\/p>
cd your-project
<\/span><\/span>npm install
<\/span><\/span><\/code><\/pre><\/li>

运行开发服务器：<\/p>
npm run dev
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
漏洞复现<\/h2>
有效Payload<\/h3>
Windows系统：<\/p>
http:\/\/localhost:3000\/@fs\/C:\/Windows\/win.ini?raw
http:\/\/localhost:3000\/@fs\/C:\/Windows\/win.ini?raw??
<\/code><\/pre>
Linux系统：<\/p>
http:\/\/localhost:3000\/@fs\/etc\/passwd
<\/code><\/pre>
测试说明<\/h3>

对于Windows系统，需要包含raw<\/code>参数<\/li>
多个问号??<\/code>可以绕过某些检查<\/li>
Linux系统不需要特殊参数，直接请求文件路径即可<\/li>
<\/ul>
漏洞分析<\/h2>
Vite执行流程<\/h3>

入口点<\/strong>：cli.js<\/code>是Vite的入口文件，具体入口函数是createServer<\/code><\/li>
服务器创建<\/strong>：createServer<\/code>调用_createServer<\/code>函数<\/li>
中间件注册<\/strong>：_createServer<\/code>会注册一系列中间件，顺序很重要：

servePublicMiddleware<\/code><\/li>
transformMiddleware<\/code><\/li>
其他中间件...<\/li>
<\/ul>
<\/li>
<\/ol>
关键中间件分析<\/h3>
1. servePublicMiddleware<\/h4>

无论是否有cleanUrl<\/code>，最终执行next()<\/code>时URL保持不变<\/li>
对漏洞利用影响不大，只是传递请求到下一个中间件<\/li>
<\/ul>
2. transformMiddleware<\/h4>
关键处理逻辑：<\/p>


移除时间戳查询参数<\/strong>：<\/p>
url<\/span> =<\/span> removeTimestampQuery<\/span>(url<\/span>)
<\/span><\/span><\/code><\/pre>
移除形如t=1234567890123<\/code>的时间戳参数<\/li>
处理后的URL会减少问号数量<\/li>
<\/ul>
<\/li>

公共路径检查<\/strong>：<\/p>
if<\/span> (url<\/span>.startsWith<\/span>(publicPath<\/span> +<\/span> '\/'<\/span>) ||<\/span> url<\/span> ===<\/span> publicPath<\/span>) {
<\/span><\/span>  warnAboutExplicitPublicPathInUrl<\/span>(url<\/span>, publicPath<\/span>, timestamp<\/span>)
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>
检查URL是否以public<\/code>开头<\/li>
仅打印警告，不影响请求处理<\/li>
<\/ul>
<\/li>

请求类型判断<\/strong>：<\/p>
if<\/span> (!<\/span>(rawRE<\/span>.test<\/span>(url<\/span>) ||<\/span> urlRE<\/span>.test<\/span>(url<\/span>))) {
<\/span><\/span>  return<\/span> next<\/span>()
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>
需要满足raw<\/code>参数或特定URL模式才会继续处理<\/li>
多个问号可以绕过此检查<\/li>
<\/ul>
<\/li>

文件类型判断<\/strong>：<\/p>
if<\/span> (isJSRequest<\/span>(url<\/span>) ||<\/span> isImportRequest<\/span>(url<\/span>))
<\/span><\/span><\/code><\/pre>
isJSRequest<\/code>: 检查是否为JS请求或没有后缀的请求<\/li>
isImportRequest<\/code>: 检查是否包含import<\/code>参数<\/li>
<\/ul>
<\/li>
<\/ol>
核心漏洞点<\/h3>


文件加载阶段<\/strong>：<\/p>
pluginContainer<\/span>.load<\/span>(id<\/span>, { ssr<\/span> })
<\/span><\/span><\/code><\/pre>
id<\/code>参数最终被处理为文件路径（如C:\/Windows\/win.ini<\/code>）<\/li>
经过cleanUrl<\/code>处理后，查询参数被移除<\/li>
<\/ul>
<\/li>

路径处理缺陷<\/strong>：<\/p>

Vite没有正确限制@fs<\/code>前缀的访问范围<\/li>
对Windows路径和Linux路径的处理存在逻辑缺陷<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用条件<\/h2>


Windows系统<\/strong>：<\/p>

必须包含raw<\/code>参数<\/li>
可以附加额外的问号绕过检查<\/li>
<\/ul>
<\/li>

Linux系统<\/strong>：<\/p>

不需要特殊参数<\/li>
直接请求文件路径即可<\/li>
<\/ul>
<\/li>
<\/ol>
防御建议<\/h2>

升级到已修复的Vite版本<\/li>
在开发环境中限制文件系统访问范围<\/li>
避免在生产环境使用Vite开发服务器<\/li>
实施严格的路径验证和过滤<\/li>
<\/ol>
总结<\/h2>
该漏洞源于Vite开发服务器对@fs<\/code>前缀的处理不当，结合查询参数的解析缺陷，导致攻击者可以读取任意文件。理解该漏洞有助于开发者更好地保护自己的应用，同时也展示了中间件处理顺序和安全检查的重要性。<\/p>

Vite任意文件读取漏洞分析与复现指南<\/h1>

漏洞概述<\/h2> 本漏洞是Vite开发服务器中存在的一个任意文件读取漏洞，攻击者可以通过精心构造的URL请求读取服务器上的任意文件，包括敏感系统文件如C:\/Windows\/win.ini<\/code>等。<\/p>

漏洞复现<\/h2>

漏洞分析<\/h2>

关键中间件分析<\/h3>

漏洞概述<\/h2>
本漏洞是Vite开发服务器中存在的一个任意文件读取漏洞，攻击者可以通过精心构造的URL请求读取服务器上的任意文件，包括敏感系统文件如`C:\/Windows\/win.ini<\/code>等。<\/p>`