CVE-2025-30208 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Vite 开发服务器存在**访问控制错误**。 💥 **后果**：攻击者可通过构造特殊 URL 参数，**绕过文件访问限制**，实现**任意文件读取**，泄露服务器敏感数据。

🔍 **CWE**：CWE-200（信息泄露）。 🐛 **缺陷点**：URL 中的 `?raw??` 或 `?import&raw??` 参数未被正确校验，导致开发者服务器错误地返回了非预期的静态文件内容。

📦 **组件**：Vite（前端构建工具）。 🏢 **厂商**：vitejs。 ⚠️ **范围**：主要影响处于**开发模式**（Dev Server）下的 Vite 服务，生产环境通常不受影响。

🕵️ **黑客能力**： 1. **读取任意文件**：如 Linux 的 `/etc/passwd` 或 Windows 的 `win.ini`。 2. **敏感信息窃取**：可能获取配置文件、源码片段、环境变量等。 3. **权限**：取决于运行 Vite 服务的系统用户权限。

📉 **门槛**：**低**。 🔑 **认证**：**无需认证**（PR:N）。 🖱️ **交互**：需用户点击或访问特定链接（UI:R），但在自动化扫描中极易触发。 🌐 **网络**：网络可达即可（AV:N）。

🔥 **Exp/PoC**：**已有大量现成工具**。 📂 **GitHub**：多个仓库提供自动化扫描器（如 `CVE-2025-30208-EXP`）。 🛠️ **工具**：支持 Fofa 测绘、多线程扫描、Nuclei 模板、Yakit 检测等。

🔎 **自查特征**： 1. **Fofa 语句**：`body="/@vite/client"`。 2. **测试 Payload**：访问 `/<敏感文件路径>?raw` 或 `/<敏感文件路径>?raw??`。 3. **响应**：若返回文件内容而非 404/403，则存在漏洞。

🛡️ **官方修复**：**已发布补丁**。 📝 **参考**：GitHub 安全公告 GHSA-x574-m823-4x7w 及多个 Commit 修复了该访问控制逻辑。建议立即升级 Vite 版本。

⚠️ **临时规避**： 1. **禁止暴露**：确保 Vite 开发服务器**不对外网开放**。 2. **WAF 拦截**：在 WAF 中拦截包含 `?raw??` 或 `?import&raw??` 且路径指向敏感文件的请求。 3. **权限最小化**：限制运行 Vite 进程的文件读取权限。

🚀 **优先级**：**高**。 📅 **时间**：2025-03-24 公布，目前 PoC 已广泛传播。 💡 **建议**：立即对互联网暴露的 Vite 服务进行扫描，存在漏洞的务必**立即升级**或**下线暴露**。