近日,Vite 官方披露了一个中高风险安全漏洞,分配编号为CVE-2025-30208,攻击者可利用该漏洞绕过开发服务器的保护机制,非法访问项目根目录外的敏感文件。Vite团队反应迅速,立即在2025年3月24日发布补丁,Goby安全团队收到该情报后立即响应测试。
无论是开发者还是企业运维,只要项目用了 Vite 老版本(>=6.2.0, <=6.2.2,>=6.1.0, <=6.1.1,>=6.0.0, <=6.0.11,>=5.0.0, <=5.4.14,<=4.5.9),攻击者只需在浏览器输入一个 URL,就可能会造成源码、SSH密钥、数据库账号、用户数据等目标机器上的任意文件信息泄露。
Goby安全团队在复现分析过程中发现,实际上对于攻击者而言,在资产测绘中所发现的关联Vite开发服务的资产,那么server.host必然是已经开启了,所以无需进行任何配置和交互即可触发该漏洞,利用难度极低。
开发者必中招:据统计,全球超80%的Vue3项目在开发阶段使用Vite,其开发服务器深度集成在主流脚手架(如create-vue)和IDE插件中。
企业躲不过:企业内多项目并行开发时,往往同时存在数十个Vite实例运行,且常被部署在混合云环境(如本地+测试云主机)。部分团队为提升协作效率,甚至会将开发服务器临时映射到公网供远程调试,这种高频次、多场景的深度使用,使得存在漏洞的Vite开发环境服务器成为企业内网中极易被忽视的"安全暗门"。
利用难度极低:攻击者无需代码能力,粘贴URL就能攻击
通过FOFA检索关联暴露在公网的Vite开发环境服务器关联资产,资产数高达119630条:
步骤1:环境准备(找到运行Vite服务的电脑,公司内网/公网均可):
步骤 2:发起恶意请求:浏览器输入(以读取etc/passwd为例)
成功读取系统文件内容
1. 将Vite版本升级到官方公布的补丁版本
2. 关注 Vite 官方安全通告
Goby标准版及企业版已支持检测:自动识别Vite开发服务+无损验证漏洞
使用GobyAI可一键生成Vite raw参数任意文件读取漏洞PoC,快速响应安全检测
将复现步骤描述文本发送给GobyAI2.0,转化及验证效果如下:
