【漏洞通告】Vite文件訪問控制繞過漏洞(CVE-2025-30208)
發布時間 2025-03-27一、漏洞概述
漏洞名稱 | Vite文件訪問控制繞過漏洞 | ||
CVE ID | CVE-2025-30208 | ||
漏洞類型 | 訪問控制漏洞 | 發現時間 | 2025-03-27 |
漏洞評分 | 5.3 | 漏洞等級 | 中危 |
攻擊向量 | 網絡 | 所需權限 | 無 |
利用難度 | 高 | 用戶交互 | 需要 |
PoC/EXP | 已公開 | 在野利用 | 未發現 |
Vite是一個現代化的前端構建工具,旨在提供更快的開發體驗。它通過基于原生ES模塊的開發服務器,在開發過程中實現極速熱更新(HMR)。Vite在構建時使用了高度優化的打包工具,如esbuild,極大提高了構建速度。它支持多種前端框架(如React、Vue)并可以通過插件擴展功能。Vite的目標是簡化前端開發工作流,并提升開發效率。
2025年3月27日,啟明星辰集團VSRC監測到Vite發布的安全公告,公告指出Vite在特定版本前存在訪問控制漏洞,攻擊者可通過構造包含?raw??或?import&raw??的URL繞過@fs文件訪問限制,讀取任意文件內容。該問題源于系統在處理URL查詢參數時未正確識別尾部分隔符,導致繞過控制邏輯。僅當開發服務器通過--host或server.host暴露至網絡時,漏洞才可被利用。
二、影響范圍
三、安全措施
3.1 升級版本
下載鏈接:https://github.com/vitejs/vite/releases/