CVE-2025-31125 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Vite 开发服务器存在**路径遍历漏洞**。 💥 **后果**：攻击者可通过构造恶意 URL，读取服务器上的**非允许文件内容**（如敏感配置、系统文件），导致**信息泄露**。 📉 **CVSS**：3.1 (AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N)，危害等级高，主要影响机密性。

🔍 **CWE**：CWE-200 (信息泄露)。 🐛 **缺陷点**：Vite 开发服务器的 **`@fs` 端点**处理不当。 📝 **机制**：利用 `?inline&import` 或 `?raw?import` 参数，绕过安全检查，访问预期目录之外的文件。

📦 **组件**：Vite (前端构建工具)。 🏢 **厂商**：vitejs。 📅 **受影响版本**： - < 6.2.4 - < 6.1.3 - < 6.0.13 - < 5.4.16 - < 4.5.11 ⚠️ **注意**：仅影响**显式暴露** Vite 开发服务器到网络的场景（如使用 `--host` 或 `server.host` 配置）。

🕵️ **黑客能力**： - 📂 **任意文件读取**：无需认证，直接读取服务器文件。 - 📄 **敏感数据**：可获取 `/etc/passwd`, `/etc/shadow`, `/etc/hosts` 等系统敏感文件。 - 🌐 **WASM 利用**：通过 WASM 导入路径遍历进一步利用。 🔒 **权限**：低权限即可利用 (PR:N)，但需用户交互触发 (UI:R)。

🚧 **利用门槛**：中等。 ✅ **无需认证** (PR:N)。 ⚠️ **需特定配置**：目标必须将 Vite 开发服务器暴露给外部网络（非默认本地访问）。 🖱️ **需用户交互** (UI:R)：攻击者需诱导用户访问特制 URL。 🎯 **网络访问** (AV:N)：远程可利用。

🧪 **有现成 Exp**：是的，多个 PoC 已公开。 🔗 **来源**： - GitHub 上的 Python 脚本 (如 `sunhuiHi666`, `0xgh057r3c0n`, `harshgupptaa`)。 - Nuclei 模板 (`projectdiscovery/nuclei-templates`)。 🛠️ **功能**：支持单目标/批量检测，自动保存结果，彩色输出。

🔎 **自查方法**： 1. **扫描**：使用 Nuclei 模板或提供的 Python PoC 脚本批量检测。 2. **特征**：检查 Vite 版本是否低于修复版本。 3. **配置检查**：确认是否使用了 `--host` 或 `server.host` 暴露服务。 4. **日志**：查看是否有异常的 `@fs` 端点访问请求。

🛡️ **官方已修复**： ✅ **修复版本**：6.2.4, 6.1.3, 6.0.13, 5.4.16, 4.5.11。 📝 **参考**：GitHub Security Advisory (GHSA-4r4m-qw57-chr8) 及 Commit `5967313`。 💡 **建议**：立即升级至上述版本或更高。

🚫 **无补丁规避**： 1. **禁止暴露**：不要在生产环境使用 Vite 开发服务器，或确保其**不暴露**给外部网络（移除 `--host` 或 `server.host` 配置）。 2. **WAF/防火墙**：拦截包含 `@fs`、`?inline`、`?raw` 等可疑参数的请求。 3. **访问控制**：限制开发服务器的访问 IP 白名单。

🔥 **优先级**：高 (Critical)。 ⚡ **原因**： - 信息泄露风险高 (C:H)。 - 已有公开 PoC 和自动化扫描模板。 - 配置不当极易触发。 📢 **行动**：立即升级版本或隔离开发服务器访问。