漏洞描述
Vite 是一个现代化的前端构建工具,旨在提供快速的开发服务器和优化的构建流程,广泛用于开发基于 JavaScript 和 TypeScript 的 Web 应用程序。
2025 年 3 月,Vite 官方发布安全补丁,修复了一个任意文件读取漏洞(CVE-2025-30208)。该漏洞允许攻击者通过构造特殊 URL 绕过 Vite 的文件访问限制,读取服务器上的任意文件内容。由于该漏洞的利用需要特定的服务器配置,受影响的用户可根据实际情况评估风险并决定是否立即修复。
该漏洞源于 Vite 在处理带有特定查询参数的 URL 时,正则表达式和参数处理逻辑存在缺陷,导致安全检查被绕过。攻击者利用这一缺陷,通过精心构造的请求路径,访问服务器上不在允许访问列表中的文件。
影响版本:
6.2.0 <= vite < 6.2.3
6.1.0 <= vite < 6.1.2
6.0.0 <= vite < 6.0.12
5.0.0 <= vite < 5.4.15
vite < 4.5.10