CVE-2025-30208 in viteالمعلومات

الملخص

بحسب VulDB • 28/05/2026

تحتوي Vite، وهي مزودة لأدوات تطوير الواجهات الأمامية (Frontend)، على ثغرة في الإصدارات السابقة لـ 6.2.3، و6.1.2، و6.0.12، و5.4.15، و4.5.10. يمنع `@fs` الوصول إلى الملفات خارج القائمة المسموح بها لخدمة Vite. يؤدي إضافة `?raw??` أو `?import&raw??` إلى عنوان URL إلى تجاوز هذا القيد وإرجاع محتوى الملف إذا كان موجودًا. يوجد هذا التجاوز لأن الفواصل النهائية مثل `?` تُزال في عدة أماكن، ولكن لم يتم أخذها في الاعتبار في التعبيرات النمطية (Regex) لسلاسل الاستعلام (Query Strings). يمكن إرجاع محتويات ملفات عشوائية إلى المتصفح. تتأثر فقط التطبيقات التي تعرض خادم التطوير Vite للشبكة بشكل صريح (باستخدام الخيار `--host` أو خيار التكوين `server.host`). تصلح الإصدارات 6.2.3، و6.1.2، و6.0.12، و5.4.15، و4.5.10 هذه المشكلة.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

18/03/2025

إفشاء

24/03/2025

الاعتدال

تمت الموافقة

إدخال

VDB-300865

استغلال

تحميل

EPSS

0.74998

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!