webpack-dev-server उपयोगकर्ताओं का स्रोत कोड चोरी हो सकता है जब वे गैर-क्रोमियम आधारित ब्राउज़र के साथ एक दुर्भावनापूर्ण वेबसाइट तक पहुंचते हैं

CVE-2025-30360 webpack-dev-server को प्रभावित करता है और कुछ परिस्थितियों में स्रोत कोड की चोरी को सक्षम कर सकता है। यह भेद्यता webpack-dev-server द्वारा 'Origin' हेडर को संभालने के तरीके में निहित है। CVE-2018-14732 के जवाब में क्रॉस-साइट WebSocket हाइजैकिंग (Cross-site WebSocket hijacking) को रोकने के लिए एक जांच लागू की गई थी, लेकिन सर्वर अभी भी IP पतों वाले 'Origin' हेडर को स्वीकार करता है। इसका मतलब है कि IP पते पर होस्ट की गई वेबसाइट webpack-dev-server के साथ एक WebSocket कनेक्शन स्थापित कर सकती है, जिससे एक हमलावर विकास सर्वर द्वारा परोसी जा रही स्रोत कोड तक पहुंच प्राप्त कर सकता है। यह जोखिम उन डेवलपर्स के लिए विशेष रूप से प्रासंगिक है जो विकास परिवेशों में webpack-dev-server का उपयोग करते हैं और क्रोमियम-आधारित ब्राउज़रों का उपयोग नहीं करते हैं। CVSS गंभीरता 6.5 है, जो एक मध्यम जोखिम का संकेत देती है।

Development teams and DevOps engineers utilizing webpack-dev-server in their development or testing workflows are at risk. Specifically, those using older versions of webpack-dev-server (prior to 5.2.1) and those exposing webpack-dev-server to external networks are particularly vulnerable. Shared hosting environments where webpack-dev-server is running on a shared IP address also present a heightened risk.

• nodejs: Monitor webpack-dev-server logs for unusual WebSocket connection attempts originating from unexpected IP addresses. Use lsof or ss to identify active WebSocket connections and their source IPs.

lsof -i :8080 | grep ws

• generic web: Examine access logs for requests containing IP addresses in the Origin header. Implement a WAF rule to block requests with IP-based origins.

grep 'Origin: [0-9.]+' /var/log/apache2/access.log

1. 2025-06-04Disclosure

   disclosure

1. आरक्षित2025-03-21
2. प्रकाशित2025-06-04
3. संशोधित2026-02-04
4. EPSS अद्यतन2026-03-23

CVE-2025-30360 के लिए प्राथमिक शमन webpack-dev-server को संस्करण 5.2.1 या उच्चतर में अपग्रेड करना है। यह संस्करण स्वीकृत 'Origin' हेडर को प्रतिबंधित करके भेद्यता को ठीक करता है। इसके अतिरिक्त, उत्पादन परिवेशों में webpack-dev-server का उपयोग करने से बचना उचित है। यदि इसे विकास परिवेश में उपयोग करना आवश्यक है, तो सुनिश्चित करें कि सर्वर फ़ायरवॉल के पीछे सुरक्षित है और केवल विश्वसनीय नेटवर्क से ही पहुंच योग्य है। स्रोत कोड सुरक्षा के लिए महत्वपूर्ण परिवेशों में, अधिक सुरक्षित विकास सर्वर का उपयोग करने पर विचार करें। WebSocket कनेक्शन से संबंधित सर्वर लॉग में संदिग्ध गतिविधि की निगरानी करें।

अंतिम अपडेट

5.2.4हाल ही में