Vite任意文件读取漏洞预警（CVE-2025-30208）

2025-03-28

一、概要

近日，华为云关注到Vite发布更新版本，修复了一处任意文件读取漏洞（CVE-2025-30208）。在Vite开发模式下，当使用 npm run dev –host 或者配置了server.host，即将服务器映射到外部时，攻击者可通过在 URL 中添加 `?raw??` 或 `?import&raw??`绕过`@fs` 路径访问限制，进而读取服务器上的任意文件。当前漏洞POC已公开，风险高。

Vite 是一款现代化的前端开发构建工具，它提供了快速的开发服务器和高效的构建能力，广泛应用于 Vue.js 项目的开发过程中。华为云提醒使用Vite的用户及时安排自检并做好安全加固。

参考链接：

https://github.com/vitejs/vite/security/advisories/GHSA-x574-m823-4x7w

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急） 

三、漏洞影响范围

影响版本：

6.2.0 <= Vite <= 6.2.2

6.1.0 <= Vite <= 6.1.1

6.0.0 <= Vite <= 6.0.11

5.0.0 <= Vite <= 5.4.14

Vite <= 4.5.9

安全版本：

6.2.3 <= Vite

6.1.2 <= Vite < 6.2.0

6.0.12 <= Vite < 6.1.0

5.4.15 <= Vite < 6.0.0

4.5.10 <= Vite < 5.0.0

四、漏洞处置

1.目前，官方已发布新版本修复了该漏洞，请受影响的用户升级到安全版本：

https://github.com/vitejs/vite/releases

2.缓解措施：

如果受影响的用户无法及时升级，可通过限制Vite开发服务器的访问权限进行缓解。

注：修复漏洞前请将资料备份，并进行充分测试。

华为云HSS企业版及以上版本应急漏洞扫描功能已支持Vite任意文件读取漏洞检测，相关功能说明请参见https://support.huaweicloud.com/usermanual-hss2.0/hss_01_0412.html 。

注：Linux系统的Agent版本为3.2.9及以上版本时支持扫描应急漏洞。