简析 vite 最新漏洞 CVE-2025-30208

感觉前脚 nextjs 出现大洞,后脚 vite 也爆出 bug,搞安全的白帽黑帽直呼最近过年了 🤣

前两天还看到尤大对 nextjs 有点幸灾乐祸的感慨,谁知下一刻自己就被偷家了

现在来分析一下漏洞吧

概述

CVE-2025-30208是一个影响Vite框架开发服务器安全的漏洞。该漏洞出现在Vite在处理带有特定查询参数（例如“?raw??”或“?import&raw??”）的文件请求时，由于内部输入验证存在缺陷，导致攻击者可以绕过文件访问控制，从而任意读取敏感文件内容。需要特别注意的是，漏洞仅对将Vite开发服务器向网络公开的应用产生影响，即使用了“--host”或在配置文件中设置了“server.host”为非localhost值的情况。

漏洞根本原因

Vite开发服务器设计目标是利用@fs前缀允许直接从文件系统加载模块，同时通过配置“server.fs.allow”限制可访问的目录。然而，该漏洞产生的根本原因在于处理特殊查询参数时的输入验证缺陷。具体而言：

• 当请求URL中含有例如“?raw??”或“?import&raw??”时，Vite内部的transformMiddleware函数在解析查询字符串时，会错误地忽略尾部多余的分隔符（例如连续的问号“?”）
• 这一处理过程中未能严格校验查询参数的格式，导致原有基于允许列表的访问限制失效，进而使得本应被拒绝的文件被错误地返回。

漏洞利用方式

攻击者能够构造恶意HTTP请求，通过在URL中添加专门格式的查询参数来触发该漏洞。常见的利用示例如下：

• Linux系统：
  GET /@fs/etc/passwd?raw??
  该请求通过附加“?raw??”参数，使得Vite绕过对/etc/passwd文件的访问限制，从而返回文件内容。
• 同理，构造包含“?raw??”参数的请求即可获取目标文件的内容。