Platform
nodejs
Component
webpack-dev-middleware
Opgelost in
7.0.1
6.0.1
5.3.5
7.1.0
CVE-2024-29180 beschrijft een Path Traversal kwetsbaarheid in webpack-dev-middleware. Deze kwetsbaarheid stelt een aanvaller in staat om ongeautoriseerd toegang te krijgen tot bestanden op de ontwikkelmachine, met name wanneer de writeToDisk optie is ingeschakeld. De kwetsbaarheid treft versies van webpack-dev-middleware die ouder zijn dan 7.1.0. Een update naar de nieuwste versie is de aanbevolen oplossing.
Deze Path Traversal kwetsbaarheid in webpack-dev-middleware is significant omdat het een aanvaller in staat stelt om willekeurige bestanden op de ontwikkelmachine te benaderen. Dit omvat potentieel gevoelige informatie zoals broncode, configuratiebestanden, en zelfs credentials. De impact is groter wanneer de writeToDisk optie is ingeschakeld, omdat dit de toegang tot het volledige bestandssysteem mogelijk maakt. Een succesvolle exploitatie kan leiden tot data-exfiltratie, compromittering van de ontwikkelomgeving en mogelijk verdere toegang tot het netwerk.
Deze kwetsbaarheid is openbaar bekend en er zijn waarschijnlijk reeds proof-of-concept exploits beschikbaar. Er is geen informatie over actieve campagnes bekend op het moment van schrijven. De kwetsbaarheid is gepubliceerd op 2024-03-21. De ernst is beoordeeld als hoog.
Development teams using webpack-dev-middleware in their Node.js projects are at risk, especially those who have enabled the writeToDisk option. Shared hosting environments where developers have limited control over server configurations are also particularly vulnerable, as are projects utilizing older, unpatched versions of webpack-dev-middleware.
• nodejs / server:
find / -name 'webpack-dev-middleware' -print
ps aux | grep webpack-dev-middleware
journalctl -u webpack-dev-middleware -f• generic web:
curl -I http://your-server/../../../../etc/passwd
grep '200 OK' /var/log/apache2/access.logdisclosure
Exploit Status
EPSS
2.53% (85% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2024-29180 is het updaten naar webpack-dev-middleware versie 7.1.0 of hoger. Als een directe upgrade niet mogelijk is, overweeg dan het uitschakelen van de writeToDisk optie, wat de impact van de kwetsbaarheid aanzienlijk vermindert. Implementeer een Web Application Firewall (WAF) om verdachte paden te blokkeren. Monitor logbestanden op ongebruikelijke bestandstoegangsverzoeken.
Actualice webpack-dev-middleware a la versión 7.1.0, 6.1.2 o 5.3.4 o superior. Esto corrige la vulnerabilidad de path traversal al normalizar las URLs antes de procesarlas. Ejecute `npm update webpack-dev-middleware` o `yarn upgrade webpack-dev-middleware` para actualizar.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-29180 is a Path Traversal vulnerability in webpack-dev-middleware versions before 7.1.0, allowing attackers to access files on the developer's machine if writeToDisk is enabled.
You are affected if you are using webpack-dev-middleware versions prior to 7.1.0 and have the writeToDisk option enabled.
Upgrade to webpack-dev-middleware version 7.1.0 or later. Alternatively, disable the writeToDisk option or implement strict URL validation.
There is currently no confirmed active exploitation, but public PoCs are likely to emerge, increasing the risk.
Refer to the webpack-dev-middleware GitHub repository for updates and advisories: https://github.com/webpack/webpack-dev-middleware
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.