LOWCVE-2025-68458CVSS 3.7

webpack buildHttp: allowedUris allow-list バイパス via URL userinfo (@) により、ビルド時 SSRF 動作が発生

Q: CVE-2025-68458 in webpack 5の影響はありますか？

はい、webpack 5.0.0から5.104.0までのバージョンを使用している場合、この脆弱性により内部ネットワークリソースへの不正アクセスや機密情報の窃取のリスクがあります。

Q: CVE-2025-68458 in webpack 5を修正するにはどうすればよいですか？

webpackをバージョン5.104.1以降にアップグレードすることを推奨します。アップグレードが困難な場合は、`experiments.buildHttp`オプションを無効にしてください。

Q: CVE-2025-68458は積極的に悪用されていますか？

現時点では、公開されているPoCは確認されていませんが、SSRF脆弱性であるため、悪用される可能性は否定できません。

Q: CVE-2025-68458に関するwebpackの公式アドバイザリはどこで入手できますか？

webpackの公式アドバイザリは、webpackのGitHubリポジトリまたはwebpackの公式ウェブサイトで確認できます。

プラットフォーム

nodejs

コンポーネント

webpack

修正版

5.49.1

5.104.1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2025-68458は、webpack 5において検出されたサーバーサイドリクエストフォージェリ（SSRF）の脆弱性です。この脆弱性は、experiments.buildHttpオプションが有効になっている場合に、allowedUris設定をバイパスし、攻撃者がwebpackのビルドプロセスから外部ホストへのリクエストを送信することを可能にします。影響を受けるバージョンはwebpack 5.0.0から5.104.0までで、バージョン5.104.1以降で修正されています。

影響と攻撃シナリオ

このSSRF脆弱性は、攻撃者がwebpackのビルドプロセスを通じて内部ネットワークリソースへの不正アクセスや、機密情報の窃取を試みることを可能にします。特に、allowedUrisの設定が不適切である場合、攻撃者はURLのuserinfo部分を悪用して、設定された許可リストをバイパスし、意図しないホストにリクエストを送信できます。この脆弱性の悪用は、内部ネットワークへの侵入や、機密データの漏洩につながる可能性があります。類似のSSRF脆弱性は、ビルドプロセスを悪用して、攻撃者が内部システムにアクセスするための足がかりとして利用される可能性があります。

悪用の状況

この脆弱性は、webpackのビルドプロセスにおける設定ミスが原因で発生します。現時点では、KEV（Known Exploited Vulnerabilities）カタログには登録されていません。公開されているPoC（Proof of Concept）は確認されていませんが、SSRF脆弱性であるため、悪用される可能性は否定できません。NVD（National Vulnerability Database）およびCISA（Cybersecurity and Infrastructure Security Agency）の情報を定期的に確認し、最新の情報を把握することが重要です。

リスク対象者翻訳中…

Node.js projects utilizing webpack's experiments.buildHttp feature and relying on prefix-based allowedUris validation are at risk. This includes projects using webpack for bundling, asset management, and build automation, particularly those with custom build configurations or those integrating webpack into CI/CD pipelines.

検出手順翻訳中…

• nodejs / supply-chain:

  npm list webpack
  # Check for versions < 5.104.1

• generic web:

  grep -r 'experiments.buildHttp: true' webpack.config.js
  # Look for webpack configurations enabling the vulnerable feature

攻撃タイムライン

2026-02-05Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

NextGuard100% まだ脆弱

EPSS

0.01% (1% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントwebpack

ベンダーosv

影響範囲修正版

>= 5.49.0, < 5.104.1 – >= 5.49.0, < 5.104.15.49.1

5.49.05.104.1

弱点分類 (CWE)

CWE-918

タイムライン

予約済み2025-12-17
公開日2026-02-05
更新日2026-02-14
EPSS 更新日2026-03-23

公開後-48日でパッチ適用

緩和策と回避策

この脆弱性への対応策として、まずwebpackをバージョン5.104.1以降にアップグレードすることを推奨します。アップグレードが困難な場合は、experiments.buildHttpオプションを無効にすることで、この脆弱性の影響を軽減できます。また、WAF（Web Application Firewall）やプロキシサーバーを使用して、webpackのビルドプロセスからの外部へのリクエストを監視し、不正なリクエストをブロックすることも有効です。allowedUrisの設定を厳密に行い、許可するホストを最小限に抑えることも重要です。

修正方法翻訳中…

Actualice webpack a la versión 5.104.1 o superior. Esto corrige la vulnerabilidad de SSRF que permite la inclusión de contenido no confiable durante la compilación. Para actualizar, ejecute `npm install webpack@latest` o `yarn upgrade webpack` en su proyecto.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2025-68458 — SSRF in webpack 5とは何ですか？

CVE-2025-68458は、webpack 5において検出されたサーバーサイドリクエストフォージェリ（SSRF）の脆弱性です。experiments.buildHttpオプションが有効な場合に、allowedUris設定をバイパスし、外部ホストへのリクエストを送信可能になります。

CVE-2025-68458 in webpack 5の影響はありますか？