webpack-dev-serverのユーザーが非Chromiumベースのブラウザで悪意のあるWebサイトにアクセスすると、ソースコードが盗まれる可能性があります

CVE-2025-30360 は webpack-dev-server に影響を与え、特定の状況下ではソースコードの窃取を可能にする可能性があります。この脆弱性は、webpack-dev-server が 'Origin' ヘッダーを処理する方法にあります。CVE-2018-14732 に対処するためにクロスサイト WebSocket ハイジャック (Cross-site WebSocket hijacking) を防止するチェックが実装されましたが、サーバーは依然として IP アドレスを含む 'Origin' ヘッダーを受け入れます。これは、IP アドレスでホストされている Web サイトが webpack-dev-server と WebSocket 接続を確立でき、攻撃者が開発サーバーが提供するソースコードにアクセスできる可能性があることを意味します。このリスクは、webpack-dev-server を開発環境で使用し、Chromium ベースのブラウザを使用していない開発者にとって特に重要です。CVSS の深刻度は 6.5 で、中程度のリスクを示しています。

Development teams and DevOps engineers utilizing webpack-dev-server in their development or testing workflows are at risk. Specifically, those using older versions of webpack-dev-server (prior to 5.2.1) and those exposing webpack-dev-server to external networks are particularly vulnerable. Shared hosting environments where webpack-dev-server is running on a shared IP address also present a heightened risk.

• nodejs: Monitor webpack-dev-server logs for unusual WebSocket connection attempts originating from unexpected IP addresses. Use lsof or ss to identify active WebSocket connections and their source IPs.

lsof -i :8080 | grep ws

• generic web: Examine access logs for requests containing IP addresses in the Origin header. Implement a WAF rule to block requests with IP-based origins.

grep 'Origin: [0-9.]+' /var/log/apache2/access.log

1. 2025-06-04Disclosure

   disclosure

1. 予約済み2025-03-21
2. 公開日2025-06-04
3. 更新日2026-02-04
4. EPSS 更新日2026-03-23

CVE-2025-30360 の主な軽減策は、webpack-dev-server をバージョン 5.2.1 以降にアップグレードすることです。このバージョンは、許可されている 'Origin' ヘッダーを制限することで脆弱性を修正します。さらに、webpack-dev-server を本番環境では使用しないことをお勧めします。開発環境で使用する必要がある場合は、サーバーがファイアウォールで保護され、信頼できるネットワークからのみアクセスできることを確認してください。ソースコードのセキュリティが重要な環境では、より安全な開発サーバーの使用を検討してください。WebSocket 接続に関連するサーバーログで疑わしいアクティビティを監視してください。