Vite开发服务器@fs任意文件读取-2025-30208）

2025年3月，Vite开发服务器曝出了一个严重的安全漏洞，编号为CVE-2025-30208。该漏洞允许攻击者通过构造特殊URL，绕过Vite的文件访问限制，非法读取服务器上的任意文件内容，包括项目源码、敏感配置文件等，如SSH密钥、数据库密码、系统文件（如/etc/passwd）等，导致严重的数据泄露风险。

漏洞影响范围

此漏洞主要影响Vite的多个版本，具体包括：

• Vite 6.x系列 ≤6.2.2（含6.0.x、6.1.x）
• Vite 5.x系列 ≤5.4.14
• Vite 4.x系列 ≤4.5.9

由于Vite在前端开发中广泛应用，特别是Vue3项目在开发阶段普遍使用Vite，因此该漏洞的影响面相当广泛。据统计，全球超80%的Vue3项目在开发阶段依赖于Vite。

漏洞原理

Vite开发服务器在处理带有特定查询参数的URL时，正则表达式和参数处理逻辑存在缺陷，导致安全检查被绕过。攻击者利用这一缺陷，通过精心构造的请求路径，可以访问服务器上不在允许访问列表中的文件。此外，Vite开发服务器默认开放--host或配置server.host时，攻击者通过构造?raw??参数，能够绕过@fs路径保护机制，直接访问任意文件。

漏洞危害

• 系统裸奔：攻击者可读取系统文件，甚至项目外的敏感配置。
• 低门槛攻击：攻击者无需代码能力，只需复制粘贴恶意URL即可触发漏洞。
• 高频中招场景：企业混合云环境、公网调试的Vite实例最危险。

官方修复方案

Vite官方迅速响应，发布了紧急补丁此漏洞。受影响用户应立即将Vite版本升级至以下安全版本：

• Vite 6.x系列：≥6.2.3 / 6.1.2 / 6.0.12
• Vite 5.x系列：≥5.4.15
• Vite 4.x系列：≥4.5.10

升级命令为：

npm update vite

安全建议

除了升级Vite版本外，开发者和企业运维还应采取以下措施以加强安全防护：

• 自查高危配置：避免将开发服务器暴露于公网，慎用--host参数。生产环境务必禁用开发服务器。
• 工具辅助检测：使用Goby、Afrog等工具扫描内网/公网资产，一键生成PoC验证漏洞。
• 关注官方安全通告：及时获取Vite官方发布的安全更新和漏洞信息。

此次Vite开发服务器任意文件读取漏洞再次提醒我们，软件开发中的安全问题不容忽视。开发者应时刻关注软件的安全更新，及时修复已知漏洞，以保障系统的安全稳定运行。