Vite任意文件讀取漏洞預(yù)警（CVE-2025-30208）

2025-03-28

一、概要

近日，華為云關(guān)注到Vite發(fā)布更新版本，修復(fù)了一處任意文件讀取漏洞（CVE-2025-30208）。在Vite開發(fā)模式下，當(dāng)使用 npm run dev –host 或者配置了server.host，即將服務(wù)器映射到外部時(shí)，攻擊者可通過在 URL 中添加 `?raw??` 或 `?import&raw??`繞過`@fs` 路徑訪問限制，進(jìn)而讀取服務(wù)器上的任意文件。當(dāng)前漏洞POC已公開，風(fēng)險(xiǎn)高。

Vite 是一款現(xiàn)代化的前端開發(fā)構(gòu)建工具，它提供了快速的開發(fā)服務(wù)器和高效的構(gòu)建能力，廣泛應(yīng)用于 Vue.js 項(xiàng)目的開發(fā)過程中。華為云提醒使用Vite的用戶及時(shí)安排自檢并做好安全加固。

參考鏈接：

https://github.com/vitejs/vite/security/advisories/GHSA-x574-m823-4x7w

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急） 

三、漏洞影響范圍

影響版本：

6.2.0 <= Vite <= 6.2.2

6.1.0 <= Vite <= 6.1.1

6.0.0 <= Vite <= 6.0.11

5.0.0 <= Vite <= 5.4.14

Vite <= 4.5.9

安全版本：

6.2.3 <= Vite

6.1.2 <= Vite < 6.2.0

6.0.12 <= Vite < 6.1.0

5.4.15 <= Vite < 6.0.0

4.5.10 <= Vite < 5.0.0

四、漏洞處置

1.目前，官方已發(fā)布新版本修復(fù)了該漏洞，請受影響的用戶升級到安全版本：

https://github.com/vitejs/vite/releases

2.緩解措施：

如果受影響的用戶無法及時(shí)升級，可通過限制Vite開發(fā)服務(wù)器的訪問權(quán)限進(jìn)行緩解。

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。

華為云HSS企業(yè)版及以上版本應(yīng)急漏洞掃描功能已支持Vite任意文件讀取漏洞檢測，相關(guān)功能說明請參見https://support.huaweicloud.com/usermanual-hss2.0/hss_01_0412.html 。

注：Linux系統(tǒng)的Agent版本為3.2.9及以上版本時(shí)支持掃描應(yīng)急漏洞。