CVE-2025-30208 in vite
الملخص
بحسب VulDB • 28/05/2026
تحتوي Vite، وهي مزودة لأدوات تطوير الواجهات الأمامية (Frontend)، على ثغرة في الإصدارات السابقة لـ 6.2.3، و6.1.2، و6.0.12، و5.4.15، و4.5.10. يمنع `@fs` الوصول إلى الملفات خارج القائمة المسموح بها لخدمة Vite. يؤدي إضافة `?raw??` أو `?import&raw??` إلى عنوان URL إلى تجاوز هذا القيد وإرجاع محتوى الملف إذا كان موجودًا. يوجد هذا التجاوز لأن الفواصل النهائية مثل `?` تُزال في عدة أماكن، ولكن لم يتم أخذها في الاعتبار في التعبيرات النمطية (Regex) لسلاسل الاستعلام (Query Strings). يمكن إرجاع محتويات ملفات عشوائية إلى المتصفح. تتأثر فقط التطبيقات التي تعرض خادم التطوير Vite للشبكة بشكل صريح (باستخدام الخيار `--host` أو خيار التكوين `server.host`). تصلح الإصدارات 6.2.3، و6.1.2، و6.0.12، و5.4.15، و4.5.10 هذه المشكلة.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.