Vite 任意文件读取漏洞

Vite 是一个现代化的前端构建工具，旨在提供快速的开发服务器和优化的构建流程，广泛用于开发基于 JavaScript 和 TypeScript 的 Web 应用程序。
2025 年 3 月，Vite 官方发布安全补丁，修复了一个任意文件读取漏洞（CVE-2025-30208）。该漏洞允许攻击者通过构造特殊 URL 绕过 Vite 的文件访问限制，读取服务器上的任意文件内容。由于该漏洞的利用需要特定的服务器配置，受影响的用户可根据实际情况评估风险并决定是否立即修复。
该漏洞源于 Vite 在处理带有特定查询参数的 URL 时，正则表达式和参数处理逻辑存在缺陷，导致安全检查被绕过。攻击者利用这一缺陷，通过精心构造的请求路径，访问服务器上不在允许访问列表中的文件。
影响版本：
6.2.0 <= vite < 6.2.3
6.1.0 <= vite < 6.1.2
6.0.0 <= vite < 6.0.12
5.0.0 <= vite < 5.4.15
vite < 4.5.10

文件读取漏洞可能导致敏感信息泄露，包括但不限于系统配置、用户数据、源代码等，从而使攻击者能够进一步了解系统架构、用户信息，甚至可能导致其他安全问题的连锁反应，如SQL注入、XSS等。

一、临时缓解方案
如果暂时无法升级，可以采取以下措施降低风险：

1. 限制网络访问：避免使用 --host 或设置 server.host 为 localhost，确保开发服务器仅限本地访问。
2. 严格文件权限：确保敏感文件不可被 Vite 进程读取（例如通过操作系统权限控制）。
   二、升级修复方案
   Vite 官方已发布安全补丁，修复版本包括：
   6.2.3、6.1.2、6.0.12、5.4.15、4.5.10
   请尽快通过 npm update vite 或手动升级到以上版本以修复漏洞。