Plateforme
nodejs
Composant
webpack
Corrigé dans
5.49.1
5.104.1
La vulnérabilité CVE-2025-68458 est une faille SSRF (Server-Side Request Forgery) affectant webpack 5. Elle permet à un attaquant de contourner les restrictions de liste blanche d'URLs (allowedUris) en utilisant des URLs malformées contenant des informations d'identification (username:password@host). Cette vulnérabilité est présente dans les versions de webpack antérieures à 5.104.1 et permet des requêtes sortantes pendant le processus de construction.
Cette vulnérabilité SSRF permet à un attaquant d'initier des requêtes HTTP(S) vers des hôtes externes, même si ces hôtes ne sont pas explicitement autorisés par la configuration allowedUris. L'exploitation réussie peut entraîner la divulgation d'informations sensibles accessibles depuis le serveur de construction, l'exécution de code arbitraire sur des systèmes accessibles via les requêtes sortantes, ou des attaques par déni de service. Le contournement de la validation des URLs repose sur une vérification de préfixe de chaîne brute, permettant à un attaquant de masquer une requête vers un hôte non autorisé derrière une URL qui semble conforme à la liste blanche. Le risque est accru dans les environnements CI/CD où le processus de construction a des privilèges élevés.
Cette vulnérabilité est publique depuis le 2026-02-05. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme faible en raison de la nécessité de configurer webpack avec experiments.buildHttp activé, ce qui n'est pas une configuration par défaut. Aucun PoC public n'a été largement diffusé, mais la description de la vulnérabilité permet de comprendre le mécanisme de contournement de la liste blanche.
Node.js projects utilizing webpack's experiments.buildHttp feature and relying on prefix-based allowedUris validation are at risk. This includes projects using webpack for bundling, asset management, and build automation, particularly those with custom build configurations or those integrating webpack into CI/CD pipelines.
• nodejs / supply-chain:
npm list webpack
# Check for versions < 5.104.1• generic web:
grep -r 'experiments.buildHttp: true' webpack.config.js
# Look for webpack configurations enabling the vulnerable featuredisclosure
Statut de l'Exploit
EPSS
0.01% (percentile 1%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour webpack vers la version 5.104.1 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement consiste à renforcer la validation des URLs dans le code de l'application qui utilise webpack. Assurez-vous que la validation des URLs ne se base pas uniquement sur une vérification de préfixe de chaîne brute, mais effectue une analyse complète de l'URL pour s'assurer que la requête est bien dirigée vers l'hôte attendu. L'utilisation d'un proxy inverse ou d'un WAF (Web Application Firewall) peut également aider à bloquer les requêtes malveillantes. Vérifiez après la mise à jour que la configuration allowedUris est correctement définie et qu'elle inclut uniquement les hôtes autorisés.
Mettez à jour webpack à la version 5.104.1 ou supérieure. Cela corrige la vulnérabilité SSRF qui permet l'inclusion de contenu non fiable pendant la compilation. Pour mettre à jour, exécutez `npm install webpack@latest` ou `yarn upgrade webpack` dans votre projet.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2025-68458 is a Server-Side Request Forgery vulnerability in webpack versions prior to 5.104.1, allowing attackers to bypass URL restrictions during the build process.
You are affected if you are using webpack versions before 5.104.1 and have the experiments.buildHttp feature enabled with potentially flawed allowedUris validation.
Upgrade to webpack version 5.104.1 or later. If upgrading is not possible, disable experiments.buildHttp or implement strict URL matching in allowedUris.
There is no confirmed active exploitation at this time, but the vulnerability's nature suggests it could be easily exploited once a PoC is released.
Refer to the official webpack security advisory for CVE-2025-68458 on the webpack website or GitHub repository.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.