¿Para qué hackear si existe @fs? Una vulnerabilidad en Vite muestra cómo no se debe configurar un servidor

Los atacantes han empezado a cazar activamente servidores de desarrollo mal configurados e intentan extraer de ellos datos confidenciales. Bajo ataque está la popular herramienta para crear interfaces web: Vite.

Los especialistas del centro de monitorización SANS Internet Storm Center notaron en sus trampas solicitudes características. Todas ellas se parecían y contenían una ruta inusual con el prefijo «/@fs/» y el final «?raw??». Entre los ejemplos hay intentos de acceder a archivos del sistema como /etc/environment o a credenciales de servicios en la nube.

Estas solicitudes están directamente relacionadas con la vulnerabilidad CVE-2025-30208, que se dio a conocer el verano pasado. El problema afecta a la función integrada «@fs», un mecanismo que permite obtener archivos del servidor durante el desarrollo. En una configuración normal el acceso está limitado a los directorios especificados, pero la adición del sufijo especial «??raw?» permite eludir las restricciones y descargar prácticamente cualquier archivo.

Los atacantes usan este truco para extraer archivos de configuración y secretos, por ejemplo claves de acceso a servicios en la nube. Aunque la herramienta normalmente funciona en el puerto 5173 y debería estar accesible solo de forma local, en la práctica esas instalaciones a menudo están abiertas a internet.

Es llamativo que los ataques no se dirijan solo al puerto estándar de Vite. Muchas solicitudes llegan a través de puertos web comunes, lo que indica intentos de localizar servidores vulnerables en un rango más amplio.

El problema en sí parece simple, pero las consecuencias pueden ser graves. Si el servidor de desarrollo es accesible desde el exterior y no está configurado correctamente, un atacante puede acceder a datos sensibles sin grandes esfuerzos.