MEDIUMCVE-2025-30360CVSS 6.5

当 webpack-dev-server 用户使用非 Chromium 内核浏览器访问恶意网站时，源代码可能被窃取

Q: CVE-2025-30360 是什么 — webpack-dev-server 中的漏洞？

webpack-dev-server 是一个开发工具，为 Web 应用程序提供本地开发环境。

Q: webpack-dev-server 中的 CVE-2025-30360 是否会影响我？

版本 5.2.1 修复了 CVE-2025-30360 漏洞，该漏洞允许泄露源代码。

Q: 如何修复 webpack-dev-server 中的 CVE-2025-30360？

强烈建议升级。如果无法升级，请实施额外的安全措施，例如限制对服务器的访问。

Q: CVE-2025-30360 是否正在被积极利用？

如果您使用的是 webpack-dev-server 的 5.2.1 之前的版本，则很可能受到影响。

Q: 在哪里可以找到 webpack-dev-server 关于 CVE-2025-30360 的官方安全通告？

检查服务器日志中是否存在可疑活动，并考虑进行安全审计。

平台

nodejs

组件

webpack-dev-server

修复版本

5.2.2

5.2.1

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

正在翻译为您的语言…

CVE-2025-30360 describes a WebSocket hijacking vulnerability within webpack-dev-server. This flaw allows malicious websites, particularly those served over IP addresses, to establish WebSocket connections, potentially leading to code sniffing. The vulnerability affects versions prior to 5.2.1, and a fix has been released.

影响与攻击场景

CVE-2025-30360 影响 webpack-dev-server，在特定情况下可能导致源代码泄露。此漏洞在于 webpack-dev-server 处理 'Origin' 头的方式。虽然为了应对 CVE-2018-14732，已实施了检查以防止跨站点 WebSocket 劫持 (Cross-site WebSocket hijacking)，但服务器仍然接受包含 IP 地址的 'Origin' 头。这意味着托管在 IP 地址上的网站可以与 webpack-dev-server 建立 WebSocket 连接，从而可能允许攻击者访问开发服务器提供的源代码。此风险对于在开发环境中使用的 webpack-dev-server 且未使用 Chromium 浏览器的开发人员尤其重要。CVSS 严重程度为 6.5，表明存在中等风险。

利用背景

利用此漏洞需要攻击者控制从 IP 地址提供的网站。该网站可以随后向 webpack-dev-server 发送包含攻击者 IP 地址的 'Origin' 头部的 WebSocket 请求。如果 webpack-dev-server 未更新，它将接受连接，攻击者可能能够访问源代码。利用成功取决于服务器配置和实施的安全措施。在安全措施不太严格的开发环境中，更容易利用此漏洞。

哪些人处于风险中翻译中…

Development teams and DevOps engineers utilizing webpack-dev-server in their development or testing workflows are at risk. Specifically, those using older versions of webpack-dev-server (prior to 5.2.1) and those exposing webpack-dev-server to external networks are particularly vulnerable. Shared hosting environments where webpack-dev-server is running on a shared IP address also present a heightened risk.

检测步骤翻译中…

• nodejs: Monitor webpack-dev-server logs for unusual WebSocket connection attempts originating from unexpected IP addresses. Use lsof or ss to identify active WebSocket connections and their source IPs.

lsof -i :8080 | grep ws

• generic web: Examine access logs for requests containing IP addresses in the Origin header. Implement a WAF rule to block requests with IP-based origins.

grep 'Origin: [0-9.]+' /var/log/apache2/access.log

攻击时间线

2025-06-04Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

NextGuard100% 仍然脆弱

EPSS

0.06% (18% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

受影响的软件

组件webpack-dev-server

供应商osv

影响范围修复版本

< 5.2.1 – < 5.2.15.2.2

—5.2.1

弱点分类 (CWE)

CWE-346

时间线

已保留2025-03-21
发布日期2025-06-04
修改日期2026-02-04
EPSS 更新日期2026-03-23

披露后-69天发布补丁

缓解措施和替代方案

针对 CVE-2025-30360 的主要缓解措施是将 webpack-dev-server 升级到 5.2.1 或更高版本。此版本通过限制允许的 'Origin' 头来修复漏洞。此外，建议避免在生产环境中将 webpack-dev-server 用于生产环境。如果需要在开发环境中将其使用，请确保服务器受到防火墙保护，并且只能从受信任的网络访问。在源代码安全至关重要的环境中，请考虑使用更安全的开发服务器。监控服务器日志中与 WebSocket 连接相关的可疑活动。

修复方法翻译中…

Actualice webpack-dev-server a la versión 5.2.1 o superior. Esto corrige la vulnerabilidad de Cross-site WebSocket hijacking. Ejecute `npm install webpack-dev-server@latest` o `yarn add webpack-dev-server@latest` para actualizar.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2025-30360 是什么 — webpack-dev-server 中的漏洞？