Plataforma
nodejs
Componente
webpack-dev-server
Corrigido em
5.2.2
5.2.1
A vulnerabilidade CVE-2025-30360 no webpack-dev-server permite que sites maliciosos acessem e potencialmente roubem código-fonte através de conexões WebSocket, especialmente em navegadores que não são baseados no Chromium. Essa falha ocorre devido à permissão de cabeçalhos 'Origin' de endereços IP, contornando as proteções implementadas para evitar ataques de Cross-site WebSocket hijacking. A vulnerabilidade afeta versões do webpack-dev-server anteriores à 5.2.1, e uma correção foi disponibilizada nesta versão.
A CVE-2025-30360 afeta o webpack-dev-server, permitindo potencialmente o roubo de código fonte em determinadas circunstâncias. A vulnerabilidade reside na forma como o webpack-dev-server lida com o cabeçalho 'Origin'. Embora tenha sido implementada uma verificação para prevenir o sequestro de WebSocket entre sites (Cross-site WebSocket hijacking) em resposta à CVE-2018-14732, o servidor ainda aceita cabeçalhos 'Origin' contendo endereços IP. Isso significa que um site hospedado em um endereço IP pode estabelecer uma conexão WebSocket com o webpack-dev-server, permitindo potencialmente que um atacante acesse o código fonte que o servidor de desenvolvimento está servindo. O risco é particularmente relevante para desenvolvedores que usam o webpack-dev-server em ambientes de desenvolvimento e não estão utilizando navegadores baseados em Chromium. A severidade CVSS é 6,5, indicando um risco moderado.
A exploração desta vulnerabilidade requer que um atacante controle um site que seja servido a partir de um endereço IP. Este site pode então enviar solicitações WebSocket para o webpack-dev-server com um cabeçalho 'Origin' contendo o endereço IP do atacante. Se o webpack-dev-server não estiver atualizado, ele aceitará a conexão e o atacante poderá acessar o código fonte. O sucesso da exploração depende da configuração do servidor e das medidas de segurança implementadas. A vulnerabilidade é mais provável de ser explorada em ambientes de desenvolvimento, onde as medidas de segurança são menos rigorosas.
Development teams and DevOps engineers utilizing webpack-dev-server in their development or testing workflows are at risk. Specifically, those using older versions of webpack-dev-server (prior to 5.2.1) and those exposing webpack-dev-server to external networks are particularly vulnerable. Shared hosting environments where webpack-dev-server is running on a shared IP address also present a heightened risk.
• nodejs: Monitor webpack-dev-server logs for unusual WebSocket connection attempts originating from unexpected IP addresses. Use lsof or ss to identify active WebSocket connections and their source IPs.
lsof -i :8080 | grep ws• generic web: Examine access logs for requests containing IP addresses in the Origin header. Implement a WAF rule to block requests with IP-based origins.
grep 'Origin: [0-9.]+' /var/log/apache2/access.logdisclosure
Status do Exploit
EPSS
0.06% (percentil 18%)
CISA SSVC
Vetor CVSS
A mitigação principal para a CVE-2025-30360 é atualizar para a versão 5.2.1 ou superior do webpack-dev-server. Esta versão corrige a vulnerabilidade, restringindo os cabeçalhos 'Origin' permitidos. Além disso, recomenda-se evitar o uso do webpack-dev-server em ambientes de produção. Se for necessário usá-lo em um ambiente de desenvolvimento, certifique-se de que o servidor esteja protegido por um firewall e acessível apenas a partir de redes confiáveis. Considere usar um servidor de desenvolvimento mais seguro, especialmente em ambientes onde a segurança do código fonte é crítica. Monitore os logs do servidor para detectar atividades suspeitas relacionadas às conexões WebSocket.
Actualice webpack-dev-server a la versión 5.2.1 o superior. Esto corrige la vulnerabilidad de Cross-site WebSocket hijacking. Ejecute `npm install webpack-dev-server@latest` o `yarn add webpack-dev-server@latest` para actualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
webpack-dev-server é uma ferramenta de desenvolvimento que fornece um ambiente de desenvolvimento local para aplicativos web.
A versão 5.2.1 corrige a vulnerabilidade CVE-2025-30360, que permite o roubo de código fonte.
É altamente recomendável atualizar. Se não for possível, implemente medidas de segurança adicionais, como restringir o acesso ao servidor.
Se você estiver usando uma versão anterior à 5.2.1 do webpack-dev-server, provavelmente estará afetado.
Verifique os logs do seu servidor em busca de atividades suspeitas e considere a possibilidade de realizar uma auditoria de segurança.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.