前言 最近几个月，项目收尾和安全评估工作接踵而至，导致博客更新未能如期进行。直到近期稍有空闲，才得以整理这段时间的技术观察。2025 年初，前端开发工具 Vite 及其相关生态接连爆出多起高危漏洞，包括 CVE-2025-30208、CVE-2025-31125、CVE-2025-31486，以及 Vitest 的 CVE-2025-24964。这些漏洞暴露了前端开发工具在配置安全上的盲点，也为深入分析现代 Web 开发工具安全机制提供了案例。本文将从技术角度剖析这几起漏洞，解析其原理、利用方式和实际防御措施。

一、Vite 漏洞背景与共性分析 Vite 作为主流前端构建工具，凭借原生 ES 模块支持和高效的热模块替换（HMR）功能，广泛应用于 Vue、React 等框架的开发中。然而，Vite 的开发服务器（Dev Server）设计初衷是为本地开发环境优化，缺乏严格的访问控制和路径验证机制，这构成了近期漏洞的共性根源。以下几起漏洞均与开发服务器暴露于网络环境（通过 –host 或 server.host 配置）相关，攻击者可通过精心构造的请求绕过安全限制或执行恶意代码。

共性问题

路径验证不足：Vite 开发服务器处理 URL 请求时，未对路径进行严格规范化，允许攻击者通过特殊参数或路径穿越绕过限制。 网络暴露风险：默认情况下，Vite 开发服务器仅监听本地，但开发者常通过 –host 或 server.host 暴露至外部网络，扩大了攻击面。 查询参数处理缺陷：Vite 对特定查询参数的处理存在漏洞，导致文件访问控制失效。

接下来，我将逐一分析这几起漏洞的技术细节。

二、CVE-2025-30208：任意文件读取漏洞 漏洞概述 CVE-2025-30208 是 Vite 开发服务器中的一处文件读取漏洞，允许攻击者在特定条件下通过构造特殊 URL 绕过文件访问限制，读取项目根目录外的任意文件。影响版本包括 Vite 0.0.0 至 6.2.2（修复版本为 6.2.3 及以上）。该漏洞于 2025 年 3 月 24 日公开，CVSS 分数为 7.5，PoC 已公开。

漏洞原理 Vite 开发服务器通过 @fs 前缀限制对项目根目录外的文件访问。但攻击者可通过在 URL 中附加 ?raw 或 ?import&raw 参数，绕过这一限制。根本原因在于 Vite 的查询参数解析逻辑存在缺陷，导致正则表达式未能有效验证请求路径。

好久没更新了，博客还是得写点东西，不然感觉像是荒废了。不过写博客这事，还是随缘，毕竟日常事情够多的，没必要硬凑内容。

这一阵子主要在搞漏洞复现和一些技术积累，趁着空闲整理下笔记，顺便聊聊最近遇到的一些有意思的东西。

近期的安全研究

1. CVE-2023-2868：邮件安全网关远程命令执行漏洞

前段时间研究了一下 CVE-2023-2868，这是一个 Barracuda Email Security Gateway（ESG）上的 RCE 漏洞。官方 CVSS 评分 9.8，基本上是“不能不修”的级别。

这个漏洞本质上是对 TAR 格式解析的处理不当，导致攻击者可以构造特定的压缩包，在解析时触发远程命令执行。这个漏洞比较麻烦的一点是，它早在 2022 年 10 月就被 APT 组织利用了，而 Barracuda 直到 2023 年 5 月才公开披露，等于白送攻击者大半年时间。

漏洞复现过程就不细讲了，核心点在于：

1. 需要找到一个受影响版本的 ESG 设备（虚拟环境搭建不算难，但环境获取相对麻烦）。
2. 发送特制的 TAR 附件，利用 ESG 解析过程中的漏洞执行任意命令。
3. 观察服务器端返回情况，确认成功 RCE。

Barracuda 官方建议是尽快升级，但考虑到 APT 组织长期利用的可能性，真正的解决方案其实是直接换设备，因为攻击者可能早就植入了后门。补丁能修漏洞，但不能抹掉入侵历史。

2. 某些老旧 Web 框架的安全问题

最近看了一些老项目，发现很多仍然在用老旧的 Web 框架，有的甚至是 2016 年左右的代码，安全性堪忧：

• Spring 早期版本的 Actuator 接口暴露问题
  /actuator/env、/actuator/configprops 这些接口在很多老项目里默认是开放的，一些开发者甚至没有权限控制机制，直接导致环境变量和应用配置泄露。
• Shiro 反序列化漏洞
  还见到有些项目用的 Shiro 版本很老，rememberMe 反序列化漏洞依然存在，虽然 Shiro 早就修了，但这些项目压根没升级。

有时候搞这些老项目，比分析 0day 还麻烦，因为很多代码根本没文档，甚至得靠翻源码才能搞清楚逻辑。更别提修复了，动一块就容易牵扯一大片。