Vite CVE-2025-30208: Zugriff auf beliebige Dateien durch ?raw??-Bypass

In mehreren Versionen des beliebten Build-Tools Vite wurde eine Sicherheitslücke (CVE-2025-30208) entdeckt, durch die die Zugriffsbeschränkungen des @fs-Moduls umgangen werden können. Durch Anhängen der Parameter ?raw?? oder ?import&raw?? an eine URL lassen sich beliebige Dateien außerhalb der eigentlich erlaubten Verzeichnisse im Browser anzeigen – darunter auch sensible Systemdateien.

Betroffen sind alle Vite-Versionen bis einschließlich 6.2.2, 6.1.1, 6.0.11, 5.4.14 sowie 4.5.9. Das Problem tritt nur auf, wenn der Vite-Entwicklungsserver mit aktivierter --host-Option (bzw. server.host in der Konfiguration) öffentlich zugänglich gemacht wird. Ursache ist, dass Vite beim Parsen der URL bestimmte abschließende Zeichen wie ? entfernt, ohne sie korrekt in den Regex-Prüfungen der Zugriffskontrollen zu berücksichtigen.

Ein Proof-of-Concept zeigt, dass eine URL wie http://localhost:5173/@fs/tmp/secret.txt?import&raw?? statt einer erwarteten 403-Fehlermeldung den tatsächlichen Inhalt der Datei im Klartext zurückliefert.

Die Schwachstelle wurde mit einem CVSS-Score von 5.4 (Moderat) eingestuft. Ein Patch steht ab Version 6.2.3 (sowie in älteren Hauptversionen entsprechend aktualisiert) zur Verfügung. Nutzer sollten ihre Vite-Installation umgehend aktualisieren, wenn sie den Dev-Server öffentlich zugänglich machen.

Related Posts

VMware-VM-Exploits fĂĽhren zu Hypervisor-Kontrolle und Ransomware-Angriffen

Am 19. März 2025 veröffentlichte Sicherheitsexperte Nital Ruzin eine brisante Analyse zu aktiven Angriffen auf VMware-Umgebungen. Die Ausnutzung dreier kritischer Schwachstellen (CVE-2025-22224, -22225, -22226) ermöglicht sogenannten VM Escapes, bei denen Angreifer aus einer kompromittierten virtuellen Maschine ausbrechen und Kontrolle über den Hypervisor (ESXi) erlangen – eine Eintrittskarte für die großflächige Ransomware-Verteilung.

Read More

Mögliches Datenleck bei Oracle

Ein mutmaßlicher Hackerangriff auf Oracle sorgt für Aufsehen: Auf dem Forum BreachForums behauptet der Nutzer „Rose87168“, er habe rund sechs Millionen Nutzerdaten aus Oracles LDAP- und SSO-Systemen gestohlen. Oracle dementiert einen Angriff weiterhin entschieden: Es habe keine Sicherheitsverletzung in der Oracle Cloud gegeben, betroffene Daten seien nicht Teil der OCI-Infrastruktur.

Read More

Kritische Sicherheitslücke in Splunk ermöglicht Remote Code Execution

Splunk hat eine schwerwiegende Sicherheitslücke (CVE-2025-20229) in älteren Versionen von Splunk Enterprise und der Splunk Cloud Platform veröffentlicht. Die Schwachstelle erlaubt es, durch den Upload einer Datei in das Verzeichnis $SPLUNK_HOME/var/run/splunk/apptemp, beliebigen Code auszuführen – und das bereits mit einem niedrig privilegierten Benutzerkonto ohne Admin- oder Power-Rolle. Ursache ist eine fehlende Autorisierungsprüfung, die einen Remote Code Execution (RCE)-Angriff ermöglicht.

Read More