HIGHCVE-2024-29180CVSS 7.4

webpack-dev-middlewareにおけるパス・トラバーサル

Q: CVE-2024-29180 — パス・トラバーサルはwebpack-dev-middlewareで何ですか？

CVE-2024-29180は、webpack-dev-middlewareにおけるURLアドレスの検証不備により、任意のファイルにアクセスできるパス・トラバーサル脆弱性です。

Q: CVE-2024-29180 — webpack-dev-middlewareで影響はありますか？

webpack-dev-middlewareのバージョンが7.1.0より前の場合は影響があります。開発者のマシン上のファイルにアクセスされる可能性があります。

Q: CVE-2024-29180 — webpack-dev-middlewareをどのように修正しますか？

webpack-dev-middlewareをバージョン7.1.0以上にアップグレードするか、_writeToDisk_オプションをfalseに設定してください。

Q: CVE-2024-29180 — 積極的に悪用されていますか？

現時点では公開PoCは確認されていませんが、悪用される可能性は否定できません。

Q: CVE-2024-29180 — webpack-dev-middlewareの公式アドバイザリはどこで入手できますか？

webpack-dev-middlewareのGitHubリポジトリで確認できます: https://github.com/webpack/webpack-dev-middleware

プラットフォーム

nodejs

コンポーネント

webpack-dev-middleware

修正版

7.0.1

6.0.1

5.3.5

7.1.0

AI Confidence: highNVDEPSS 2.5%レビュー済み: 2026年5月

NVDで見る

保存

webpack-dev-middlewareには、URLアドレスの検証が不十分なため、パス・トラバーサル脆弱性が存在します。この脆弱性を悪用されると、攻撃者は開発者のマシン上の任意のファイルにアクセスできる可能性があります。影響を受けるバージョンは7.1.0より前のものです。バージョン7.1.0へのアップグレード、または適切な設定変更により、この脆弱性を軽減できます。

影響と攻撃シナリオ

この脆弱性は、webpack-dev-middlewareを使用しているNode.jsアプリケーションにおいて、深刻なセキュリティリスクをもたらします。攻撃者は、悪意のあるリクエストを送信することで、開発者のマシン上の機密情報（ソースコード、設定ファイル、APIキーなど）を窃取する可能性があります。さらに、攻撃者はこの脆弱性を利用して、開発環境を改ざんしたり、悪意のあるコードを実行したりする可能性も考えられます。特に、開発環境が本番環境と同一の構成である場合、攻撃の影響範囲は拡大する可能性があります。

悪用の状況

この脆弱性は、2024年3月21日に公開されました。現時点では、公開されているPoCは確認されていませんが、パス・トラバーサル脆弱性であるため、悪用される可能性は否定できません。CISA KEVリストへの登録状況は不明です。攻撃者は、webpack-dev-middlewareを使用しているアプリケーションを標的とし、機密情報の窃取や環境改ざんを試みる可能性があります。

リスク対象者翻訳中…

Development teams using webpack-dev-middleware in their Node.js projects are at risk, especially those who have enabled the writeToDisk option. Shared hosting environments where developers have limited control over server configurations are also particularly vulnerable, as are projects utilizing older, unpatched versions of webpack-dev-middleware.

検出手順翻訳中…

• nodejs / server:

  find / -name 'webpack-dev-middleware' -print
  ps aux | grep webpack-dev-middleware
  journalctl -u webpack-dev-middleware -f

• generic web:

  curl -I http://your-server/../../../../etc/passwd
  grep '200 OK' /var/log/apache2/access.log

攻撃タイムライン

2024-03-21Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

NextGuard100% まだ脆弱

EPSS

2.53% (85% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントwebpack-dev-middleware

ベンダーosv

影響範囲修正版

>= 7.0.0, < 7.1.0 – >= 7.0.0, < 7.1.07.0.1

>= 6.0.0, < 6.1.2 – >= 6.0.0, < 6.1.26.0.1

< 5.3.4 – < 5.3.45.3.5

7.0.07.1.0

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-03-18
公開日2024-03-21
更新日2026-02-04
EPSS 更新日2026-04-02

公開後-1日でパッチ適用

緩和策と回避策

この脆弱性への対応策として、まずwebpack-dev-middlewareをバージョン7.1.0以上にアップグレードすることを推奨します。アップグレードが困難な場合は、writeToDiskオプションをfalseに設定し、仮想ファイルシステムを使用することで、物理ファイルシステムへのアクセスを制限できます。また、WAF（Web Application Firewall）を導入し、不正なファイルアクセス試行を検知・遮断することも有効です。アップグレード後、ファイルシステムへのアクセス権限が適切に設定されていることを確認してください。

修正方法翻訳中…

Actualice webpack-dev-middleware a la versión 7.1.0, 6.1.2 o 5.3.4 o superior. Esto corrige la vulnerabilidad de path traversal al normalizar las URLs antes de procesarlas. Ejecute `npm update webpack-dev-middleware` o `yarn upgrade webpack-dev-middleware` para actualizar.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-29180 — パス・トラバーサルはwebpack-dev-middlewareで何ですか？