靶机体验

访问极核官方靶场开启靶机实验：极核靶场 -> 渗透测试靶场 -> Vite开发服务器 – 任意文件读取

漏洞信息

CVE-2025-30208是Vite开发服务器中存在的一个高危逻辑漏洞，允许攻击者通过构造特殊的URL绕过文件访问限制，读取服务器上的任意文件（如配置文件、密钥、数据库凭据等）。该漏洞的利用条件需满足两点：开发服务器通过--host或server.host配置暴露至网络（非默认配置），且使用受影响版本的Vite由于Vite广泛应用于Vue、React等主流前端框架，潜在影响范围涉及数十万级资产。

​技术原理

漏洞源于Vite在处理URL查询参数时的逻辑缺陷。当请求路径包含特定参数（如?raw??或?import&raw??）时，Vite对URL尾部分隔符（如?和&）的正则匹配不严格，导致安全检查被绕过。例如，攻击者可构造类似/@fs/etc/passwd?raw??的请求，利用@fs机制（本用于访问项目允许列表内的文件）读取系统敏感文件官方修复方案通过正则表达式/[?&]+$/移除URL末尾的冗余分隔符，从而阻断绕过路径。

影响范围

• Vite 4.5.9及更早版本
• 5.0.0 ≤ Vite ≤ 5.4.14
• 6.0.0 ≤ Vite ≤ 6.0.11
• 6.1.0 ≤ Vite ≤ 6.1.1
• 6.2.0 ≤ Vite ≤ 6.2.2

漏洞复现

在受影响版本的Vite开发服务器构造请求访问敏感文件

# Linux示例
http://目标IP:端口/@fs/etc/passwd?raw??

# Windows示例
http://目标IP:端口/@fs/c://windows/win.ini?import&raw??

利用脚本