Le code source des utilisateurs de webpack-dev-server peut être volé lorsqu'ils accèdent à un site web malveillant avec un navigateur non basé sur Chromium

### Résumé Le code source peut être volé lorsque vous accédez à un site web malveillant avec un navigateur non basé sur Chromium. ### Détails L'en-tête `Origin` est vérifié pour empêcher le détournement de WebSocket intersite (Cross-site WebSocket hijacking), qui a été signalé par CVE-2018-14732. Mais webpack-dev-server autorise toujours les en-têtes `Origin` d'adresse IP. https://github.com/webpack/webpack-dev-server/blob/55220a800ba4e30dbde2d98785ecf4c80b32f711/lib/Server.js#L3113-L3127 Cela permet aux sites web qui sont servis sur des adresses IP de se connecter à WebSocket. En utilisant la même méthode décrite dans [l'article](https://blog.cal1.cn/post/Sniffing%20Codes%20in%20Hot%20Module%20Reloading%20Messages) lié depuis CVE-2018-14732, l'attaquant obtient le code source. commit associé : https://github.com/webpack/webpack-dev-server/commit/72efaab83381a0e1c4914adf401cbd210b7de7eb (notez que la fonction `checkHost` n'était utilisée que pour l'en-tête Host afin d'empêcher les attaques de rebinding DNS, donc ce changement en lui-même est correct). Cette vulnérabilité n'affecte pas les utilisateurs de Chrome 94+ (et d'autres navigateurs basés sur Chromium) en raison de [la fonctionnalité de blocage d'accès privé non-HTTPS](https://developer.chrome.com/blog/private-network-access-update#chrome_94). ### PoC 1. Télécharger [reproduction.z