Vite任意文件读取漏洞分析及绕过技术（CVE-2025-32395）<\/h1>

漏洞概述<\/h2>
在Vite开发服务器中发现一个严重的安全漏洞（CVE-2025-32395），该漏洞允许攻击者通过特制的HTTP请求读取服务器上的任意文件。当Vite服务器在Node.js或Bun环境下运行并暴露在网络上时，攻击者可以利用此漏洞绕过文件访问限制。<\/p>

影响版本<\/h2>

6.2.0 <= Vite <= 6.2.5<\/li>
6.1.0 <= Vite <= 6.1.4<\/li>
6.0.0 <= Vite <= 6.0.14<\/li>
5.0.0 <= Vite <= 5.4.17<\/li>

Vite <= 4.5.12<\/li> <\/ul>

漏洞原理<\/h2>

正常文件访问流程<\/h3>

请求处理流程<\/strong>：<\/p>

请求首先由viteServePublicMiddleware<\/code>处理<\/li>
然后进入viteTransformMiddleware<\/code>进行转换处理<\/li>
最后到达viteServeRawFsMiddleware<\/code>进行文件系统访问<\/li> <\/ul> <\/li>
安全检查机制<\/strong>：<\/p> ensureServingAccess<\/code>方法负责检查文件访问权限<\/li> isFileServingAllowed<\/code>和isFileLoadingAllowed<\/code>方法进行具体验证<\/li> isUriInFilePath<\/code>方法检查请求路径是否在允许的目录范围内<\/li> <\/ul> <\/li> <\/ol> 漏洞触发条件<\/h3> 攻击者可以通过在请求URL中包含#<\/code>字符来绕过安全检查：<\/p> new URL<\/code>处理时会忽略#<\/code>后面的内容<\/li> 安全检查阶段只验证#<\/code>前的内容<\/li> 实际文件读取时却使用完整的原始URL<\/li> <\/ol> 漏洞复现<\/h2> 环境搭建<\/h3> 从GitHub下载受影响版本的Vite源代码<\/li> 使用WebStorm配置开发环境<\/li> 在Windows环境下创建测试文件E:\/tmp\/flag.txt<\/code><\/li> <\/ol> 攻击Payload<\/h3> curl --request-target \/@fs\/Projects\/vite-6.2.1\/#\/..\/..\/..\/..\/..\/tmp\/flag.txt http:\/\/localhost:5173\/ <\/span><\/span><\/code><\/pre>复现步骤<\/h3> 启动Vite开发服务器<\/li> 使用上述curl命令发送恶意请求<\/li> 服务器将返回E:\/tmp\/flag.txt<\/code>文件内容<\/li> <\/ol> 技术分析<\/h2> 绕过机制详解<\/h3> URL解析差异<\/strong>：<\/p> 安全检查阶段：\/@fs\/Projects\/vite-6.2.1\/<\/code>（#<\/code>后内容被忽略）<\/li> 文件读取阶段：完整路径\/@fs\/Projects\/vite-6.2.1\/#\/..\/..\/..\/..\/..\/tmp\/flag.txt<\/code><\/li> <\/ul> <\/li> 目录穿越<\/strong>：<\/p> 安全检查认为请求的是允许目录下的文件<\/li> 实际读取时通过..\/<\/code>实现目录穿越<\/li> <\/ul> <\/li> 绕过效果<\/strong>：<\/p> 成功绕过ensureServingAccess<\/code>的安全检查<\/li> 实现任意文件读取<\/li> <\/ul> <\/li> <\/ol> 与相关漏洞对比<\/h3> CVE-2025-30208<\/strong>：使用?import<\/code>绕过<\/li> CVE-2025-31125<\/strong>：读取无后缀文件绕过<\/li> CVE-2025-31486<\/strong>：虽然类似，但使用?import<\/code>参数<\/li> 本漏洞（CVE-2025-32395）：使用#<\/code>实现更彻底的绕过<\/li> <\/ul> 修复方案<\/h2> 官方在commit 3bb0883d22d59cfd901ff18f338e8b4bf11395f7<\/code>中修复了此漏洞：<\/p> 新增rejectInvalidRequestMiddleware<\/code>中间件<\/li> 检查URL中是否包含#<\/code>字符<\/li> 如果发现#<\/code>字符，直接返回400错误<\/li> <\/ol> 修复代码关键部分：<\/p> function<\/span> rejectInvalidRequestMiddleware<\/span>() { <\/span><\/span> return<\/span> (req<\/span>, res<\/span>, next<\/span>) => { <\/span><\/span> if<\/span> (req<\/span>.url<\/span>.includes<\/span>('#'<\/span>)) { <\/span><\/span> res<\/span>.statusCode<\/span> =<\/span> 400<\/span> <\/span><\/span> res<\/span>.end<\/span>() <\/span><\/span> return<\/span> <\/span><\/span> } <\/span><\/span> next<\/span>() <\/span><\/span> } <\/span><\/span>} <\/span><\/span><\/code><\/pre>防护建议<\/h2> 立即升级到已修复的Vite版本<\/li> 避免将开发服务器暴露在公共网络<\/li> 在生产环境使用反向代理并配置适当的安全规则<\/li> 定期检查服务器日志中的可疑请求<\/li> <\/ol> 总结<\/h2> 该漏洞展示了URL解析差异如何导致安全绕过，攻击者通过精心构造包含#<\/code>的URL，利用安全检查与实际文件读取阶段的处理不一致，成功实现任意文件读取。开发者在实现安全检查时应确保所有处理阶段的一致性，避免因解析差异导致的安全问题。<\/p> 参考链接<\/h2> CVE-2025-32395详情<\/a><\/li> 官方修复commit<\/a><\/li> <\/ul>