平台
nodejs
组件
webpack-dev-middleware
修复版本
7.0.1
6.0.1
5.3.5
7.1.0
CVE-2024-29180 是 webpack-dev-middleware 中发现的路径遍历漏洞。该漏洞允许攻击者访问开发者的本地文件,可能导致敏感信息泄露。该漏洞影响 webpack-dev-middleware 7.0.0 及更早版本。建议升级至 7.1.0 以解决此问题。
该漏洞的潜在影响非常严重。攻击者可以利用此漏洞访问开发者的本地文件系统,包括源代码、配置文件、密钥和其他敏感数据。如果 webpack-dev-middleware 运行在具有访问权限的服务器上,攻击者甚至可以访问服务器上的其他资源。攻击者可能利用此漏洞窃取凭据、修改代码或执行恶意操作。由于 webpack-dev-middleware 经常在开发环境中运行,因此攻击者可能更容易利用此漏洞。
该漏洞已公开披露,并且存在利用此漏洞的可能性。目前尚未观察到大规模利用,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞尚未被添加到 CISA KEV 目录中,但应密切关注。
Development teams using webpack-dev-middleware in their Node.js projects are at risk, especially those who have enabled the writeToDisk option. Shared hosting environments where developers have limited control over server configurations are also particularly vulnerable, as are projects utilizing older, unpatched versions of webpack-dev-middleware.
• nodejs / server:
find / -name 'webpack-dev-middleware' -print
ps aux | grep webpack-dev-middleware
journalctl -u webpack-dev-middleware -f• generic web:
curl -I http://your-server/../../../../etc/passwd
grep '200 OK' /var/log/apache2/access.logdisclosure
漏洞利用状态
EPSS
2.53% (85% 百分位)
CVSS 向量
最有效的缓解措施是升级至 webpack-dev-middleware 7.1.0 或更高版本,该版本修复了此漏洞。如果无法立即升级,可以考虑以下临时缓解措施:限制 webpack-dev-middleware 访问的文件系统路径,确保只允许访问必要的资源。使用防火墙或代理服务器来限制对 webpack-dev-middleware 的访问。监控 webpack-dev-middleware 的日志,以检测任何可疑活动。如果使用 memfs,则此漏洞不存在。
Actualice webpack-dev-middleware a la versión 7.1.0, 6.1.2 o 5.3.4 o superior. Esto corrige la vulnerabilidad de path traversal al normalizar las URLs antes de procesarlas. Ejecute `npm update webpack-dev-middleware` o `yarn upgrade webpack-dev-middleware` para actualizar.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-29180 是 webpack-dev-middleware 中发现的路径遍历漏洞,允许攻击者访问开发者的本地文件。
如果您正在使用 webpack-dev-middleware 7.0.0 或更早版本,则您可能受到此漏洞的影响。
升级至 webpack-dev-middleware 7.1.0 或更高版本以修复此漏洞。
虽然尚未观察到大规模利用,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。
请参阅 webpack-dev-middleware 的 GitHub 仓库:https://github.com/webpack/webpack-dev-middleware