Vite CVE-2025-30208: Zugriff auf beliebige Dateien durch ?raw??-Bypass
In mehreren Versionen des beliebten Build-Tools Vite wurde eine Sicherheitslücke (CVE-2025-30208) entdeckt, durch die die Zugriffsbeschränkungen des @fs-Moduls umgangen werden können. Durch Anhängen der Parameter ?raw?? oder ?import&raw?? an eine URL lassen sich beliebige Dateien außerhalb der eigentlich erlaubten Verzeichnisse im Browser anzeigen – darunter auch sensible Systemdateien.
Betroffen sind alle Vite-Versionen bis einschließlich 6.2.2, 6.1.1, 6.0.11, 5.4.14 sowie 4.5.9. Das Problem tritt nur auf, wenn der Vite-Entwicklungsserver mit aktivierter --host-Option (bzw. server.host in der Konfiguration) öffentlich zugänglich gemacht wird. Ursache ist, dass Vite beim Parsen der URL bestimmte abschließende Zeichen wie ? entfernt, ohne sie korrekt in den Regex-Prüfungen der Zugriffskontrollen zu berücksichtigen.
Ein Proof-of-Concept zeigt, dass eine URL wie http://localhost:5173/@fs/tmp/secret.txt?import&raw?? statt einer erwarteten 403-Fehlermeldung den tatsächlichen Inhalt der Datei im Klartext zurückliefert.
Die Schwachstelle wurde mit einem CVSS-Score von 5.4 (Moderat) eingestuft. Ein Patch steht ab Version 6.2.3 (sowie in älteren Hauptversionen entsprechend aktualisiert) zur Verfügung. Nutzer sollten ihre Vite-Installation umgehend aktualisieren, wenn sie den Dev-Server öffentlich zugänglich machen.