In mehreren Versionen des beliebten Build-Tools Vite wurde eine Sicherheitslücke (CVE-2025-30208) entdeckt, durch die die Zugriffsbeschränkungen des @fs-Moduls umgangen werden können. Durch Anhängen der Parameter ?raw?? oder ?import&raw?? an eine URL lassen sich beliebige Dateien außerhalb der eigentlich erlaubten Verzeichnisse im Browser anzeigen – darunter auch sensible Systemdateien.
Betroffen sind alle Vite-Versionen bis einschließlich 6.2.2, 6.1.1, 6.0.11, 5.4.14 sowie 4.5.9. Das Problem tritt nur auf, wenn der Vite-Entwicklungsserver mit aktivierter --host-Option (bzw. server.host in der Konfiguration) öffentlich zugänglich gemacht wird. Ursache ist, dass Vite beim Parsen der URL bestimmte abschließende Zeichen wie ? entfernt, ohne sie korrekt in den Regex-Prüfungen der Zugriffskontrollen zu berücksichtigen.
Ein Proof-of-Concept zeigt, dass eine URL wie http://localhost:5173/@fs/tmp/secret.txt?import&raw?? statt einer erwarteten 403-Fehlermeldung den tatsächlichen Inhalt der Datei im Klartext zurückliefert.
Die Schwachstelle wurde mit einem CVSS-Score von 5.4 (Moderat) eingestuft. Ein Patch steht ab Version 6.2.3 (sowie in älteren Hauptversionen entsprechend aktualisiert) zur Verfügung. Nutzer sollten ihre Vite-Installation umgehend aktualisieren, wenn sie den Dev-Server öffentlich zugänglich machen.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: