【漏洞通告】Vite文件訪問控制繞過漏洞(CVE-2025-30208)

發布時間 2025-03-27

一、漏洞概述


漏洞名稱

Vite文件訪問控制繞過漏洞

CVE   ID

CVE-2025-30208

漏洞類型

訪問控制漏洞

發現時間

2025-03-27

漏洞評分

5.3

漏洞等級

中危

攻擊向量

網絡

所需權限

利用難度

用戶交互

需要

PoC/EXP

已公開

在野利用

未發現


Vite是一個現代化的前端構建工具,旨在提供更快的開發體驗。它通過基于原生ES模塊的開發服務器,在開發過程中實現極速熱更新(HMR)。Vite在構建時使用了高度優化的打包工具,如esbuild,極大提高了構建速度。它支持多種前端框架(如React、Vue)并可以通過插件擴展功能。Vite的目標是簡化前端開發工作流,并提升開發效率。


2025年3月27日,啟明星辰集團VSRC監測到Vite發布的安全公告,公告指出Vite在特定版本前存在訪問控制漏洞,攻擊者可通過構造包含?raw??或?import&raw??的URL繞過@fs文件訪問限制,讀取任意文件內容。該問題源于系統在處理URL查詢參數時未正確識別尾部分隔符,導致繞過控制邏輯。僅當開發服務器通過--host或server.host暴露至網絡時,漏洞才可被利用。


二、影響范圍


6.2.0 <= Vite <= 6.2.2
6.1.0 <= Vite <= 6.1.1
6.0.0 <= Vite <= 6.0.11
5.0.0 <= Vite <= 5.4.14
Vite <= 4.5.9


三、安全措施


3.1 升級版本


官方已發布修復版本,建議受影響用戶盡快更新。
Vite >= 6.2.3
6.1.2 <= Vite < 6.2.0
6.0.12 <= Vite < 6.1.0
5.4.15 <= Vite < 6.0.0
4.5.10 <= Vite < 5.0.0


下載鏈接:https://github.com/vitejs/vite/releases/


3.2 臨時措施


暫無。


3.3 通用建議


? 定期更新系統補丁,減少系統漏洞,提升服務器的安全性。
加強系統和網絡的訪問控制,修改防火墻策略,關閉非必要的應用端口或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
使用企業級安全產品,提升企業的網絡安全性能。
加強系統用戶和權限管理,啟用多因素認證機制和最小權限原則,用戶和軟件權限應保持在最低限度。
啟用強密碼策略并設置為定期修改。


3.4 參考鏈接


https://github.com/vitejs/vite/security/advisories/GHSA-x574-m823-4x7w
https://nvd.nist.gov/vuln/detail/CVE-2025-30208