Plateforme
nodejs
Composant
webpack-dev-server
Corrigé dans
5.2.2
5.2.1
La vulnérabilité CVE-2025-30360 affecte webpack-dev-server, permettant potentiellement le vol de code source via une connexion WebSocket. Cette faille est due à une validation incorrecte de l'en-tête 'Origin', autorisant les sites hébergés sur des adresses IP à établir une connexion. Les versions concernées sont celles antérieures à la version 5.2.1, et une correction a été publiée.
La CVE-2025-30360 affecte webpack-dev-server, permettant potentiellement le vol de code source dans certaines circonstances. La vulnérabilité réside dans la manière dont webpack-dev-server gère l'en-tête 'Origin'. Bien qu'une vérification ait été mise en œuvre pour prévenir le détournement de WebSocket entre sites (Cross-site WebSocket hijacking) en réponse à la CVE-2018-14732, le serveur continue d'accepter les en-têtes 'Origin' contenant des adresses IP. Cela signifie qu'un site web hébergé sur une adresse IP peut établir une connexion WebSocket avec le webpack-dev-server, permettant potentiellement à un attaquant d'accéder au code source servi par le serveur de développement. Le risque est particulièrement pertinent pour les développeurs utilisant webpack-dev-server dans des environnements de développement et ne faisant pas appel à des navigateurs basés sur Chromium. La sévérité CVSS est de 6,5, indiquant un risque modéré.
L'exploitation de cette vulnérabilité nécessite qu'un attaquant contrôle un site web servi à partir d'une adresse IP. Ce site web peut alors envoyer des requêtes WebSocket au webpack-dev-server avec un en-tête 'Origin' contenant l'adresse IP de l'attaquant. Si le webpack-dev-server n'est pas mis à jour, il acceptera la connexion et l'attaquant pourra accéder au code source. Le succès de l'exploitation dépend de la configuration du serveur et des mesures de sécurité mises en œuvre. La vulnérabilité est plus susceptible d'être exploitée dans les environnements de développement où les mesures de sécurité sont moins strictes.
Development teams and DevOps engineers utilizing webpack-dev-server in their development or testing workflows are at risk. Specifically, those using older versions of webpack-dev-server (prior to 5.2.1) and those exposing webpack-dev-server to external networks are particularly vulnerable. Shared hosting environments where webpack-dev-server is running on a shared IP address also present a heightened risk.
• nodejs: Monitor webpack-dev-server logs for unusual WebSocket connection attempts originating from unexpected IP addresses. Use lsof or ss to identify active WebSocket connections and their source IPs.
lsof -i :8080 | grep ws• generic web: Examine access logs for requests containing IP addresses in the Origin header. Implement a WAF rule to block requests with IP-based origins.
grep 'Origin: [0-9.]+' /var/log/apache2/access.logdisclosure
Statut de l'Exploit
EPSS
0.06% (percentile 18%)
CISA SSVC
Vecteur CVSS
L'atténuation principale pour la CVE-2025-30360 est de mettre à niveau vers la version 5.2.1 ou supérieure de webpack-dev-server. Cette version corrige la vulnérabilité en restreignant les en-têtes 'Origin' autorisés. De plus, il est recommandé d'éviter d'utiliser webpack-dev-server dans des environnements de production. Si son utilisation est nécessaire dans un environnement de développement, assurez-vous que le serveur est protégé par un pare-feu et accessible uniquement à partir de réseaux de confiance. Envisagez d'utiliser un serveur de développement plus sécurisé, en particulier dans les environnements où la sécurité du code source est critique. Surveillez les journaux du serveur pour détecter toute activité suspecte liée aux connexions WebSocket.
Actualice webpack-dev-server a la versión 5.2.1 o superior. Esto corrige la vulnerabilidad de Cross-site WebSocket hijacking. Ejecute `npm install webpack-dev-server@latest` o `yarn add webpack-dev-server@latest` para actualizar.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
webpack-dev-server est un outil de développement qui fournit un environnement de développement local pour les applications web.
La version 5.2.1 corrige la vulnérabilité CVE-2025-30360, qui permet le vol de code source.
Il est fortement recommandé de mettre à niveau. Si ce n'est pas possible, mettez en œuvre des mesures de sécurité supplémentaires, telles que la restriction de l'accès au serveur.
Si vous utilisez une version antérieure à 5.2.1 de webpack-dev-server, vous êtes probablement affecté.
Examinez les journaux de votre serveur à la recherche d'activités suspectes et envisagez de faire réaliser un audit de sécurité.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.