cc3305/CVE-2025-30208

# CVE-2025-30208 ## CVE 概述 6.2.3、6.1.2、6.0.12、5.4.15 和 4.5.10 之前的 Vite dev server 可以绕过针对 `@fs` 请求的 `server.fs.deny` 文件访问检查。在 `@fs` URL 后附加 `?raw??` 或 `?import&raw??` 会返回通常应由 dev server 允许列表阻止的文件内容。 **仅显式将 Vite dev server 暴露给网络的应用程序会受到影响**。 “常规”的静态生产环境构建不受此漏洞影响。 ## 受影响版本 - Vite < 4.5.10 - Vite >= 5.0.0, < 5.4.15 - Vite >= 6.0.0, < 6.0.12 - Vite >= 6.1.0, < 6.1.2 - Vite >= 6.2.0, < 6.2.3 ## 参考资料 - [Vite 安全公告 - GHSA-x574-m823-4x7w](https://github.com/vitejs/vite/security/advisories/GHSA-x574-m823-4x7w) - [NVD - CVSS Score 7.5](https://nvd.nist.gov/vuln/detail/CVE-2025-30208) - [Github POC - ThumpBo, 2025年3月](https://github.com/ThumpBo/CVE-2025-30208-EXP) - [公开 Docker 实验环境 - Vulhub](https://github.com/vulhub/vulhub/tree/master/vite/CVE-2025-30208) - [CVE-details - CVSS Score 7.5](https://www.cvedetails.com/cve/CVE-2025-30208/)

标签：CVE-2025-30208, Vite, 任意文件读取, 威胁模拟, 数据泄露, 网络安全审计, 请求拦截, 逆向工具