漏洞简介3 月 24 日，漏洞发现者在 GitHub 安全公告中披露了 Vite 存在的任意文件读取漏洞（漏洞编号：CVE-2025-30208，漏洞级别：高危），该漏洞源于Vite在其开发服务器模式下，提供了@fs机制，用于访问服务允许范围内的文件。对特定 URL 请求的路径校验不严格，导致可以通过在URL请求中添加特定参数（如?raw??或?import&raw??），绕过原有用于阻止

漏洞成因Shiro拦截器Shiro框架通过拦截器功能来实现对用户访问权限的控制和拦截。Shiro中常见的拦截器有anon,authc等拦截器。 1231.anon为匿名拦截器，不需要登录就能访问，一般用于静态资源,或者移动端接口2.authc为登录拦截器，需要登录认证才能访问的资源。 用户可以在Shiro.ini编写匹配URL配置，将会拦截匹配的URL，并执行响应的拦截器。从而实现对URL的访问

Shiro-CVE-2016-44371.目标加入随意字符提交后 bp中带有：Set-Cookie: rememberMe=deleteMe字段 2.ysoserial 生成 1java -jar ysoserial-all.jar CommonsBeanutils1 "touch /desktop" > poc.ser 生成payload的py文件 123