平台
nodejs
组件
webpack
修复版本
5.49.1
5.104.1
CVE-2025-68458 是 webpack 5 中的服务器端请求伪造 (SSRF) 漏洞。当 experiments.buildHttp 启用时,攻击者可以通过构造包含用户信息的 URL 绕过 allowedUris 限制,从而导致 webpack 向外部主机发起 HTTP(S) 请求。该漏洞影响 webpack 5 的早期版本,建议升级至 5.104.1 版本以修复此问题。
该 SSRF 漏洞允许攻击者在 webpack 构建过程中发起任意 HTTP(S) 请求,绕过预期的 allowedUris 限制。攻击者可以利用此漏洞访问内部资源、扫描内部网络,甚至可能执行更严重的攻击,例如读取敏感数据或与外部系统交互。由于该漏洞发生在构建时,攻击者需要控制构建过程才能利用它,例如通过污染构建依赖或修改 webpack 配置文件。如果 allowedUris 的验证依赖于简单的字符串前缀检查,则更容易被绕过,因为 URL 解析后实际的网络请求可能指向不同的主机。
目前尚未公开可用的 SSRF 漏洞利用代码,但该漏洞的潜在影响仍然值得关注。该漏洞被评定为低危,可能意味着攻击者利用该漏洞的难度较高。CISA 尚未将其添加到 KEV 目录中。建议密切关注相关安全公告和漏洞利用信息。
Node.js projects utilizing webpack's experiments.buildHttp feature and relying on prefix-based allowedUris validation are at risk. This includes projects using webpack for bundling, asset management, and build automation, particularly those with custom build configurations or those integrating webpack into CI/CD pipelines.
• nodejs / supply-chain:
npm list webpack
# Check for versions < 5.104.1• generic web:
grep -r 'experiments.buildHttp: true' webpack.config.js
# Look for webpack configurations enabling the vulnerable featuredisclosure
漏洞利用状态
EPSS
0.01% (1% 百分位)
CISA SSVC
最有效的缓解措施是升级至 webpack 5.104.1 或更高版本,该版本修复了此漏洞。如果无法立即升级,可以考虑以下临时缓解措施:首先,禁用 experiments.buildHttp 功能,这将阻止 webpack 发起 HTTP(S) 请求。其次,严格审查和验证 allowedUris 配置,确保其能够有效防止攻击者绕过限制。第三,实施网络策略,限制 webpack 构建过程的网络访问权限,以减少潜在的攻击面。最后,监控 webpack 构建过程中的异常网络活动,以便及时发现和响应潜在的攻击。
Actualice webpack a la versión 5.104.1 o superior. Esto corrige la vulnerabilidad de SSRF que permite la inclusión de contenido no confiable durante la compilación. Para actualizar, ejecute `npm install webpack@latest` o `yarn upgrade webpack` en su proyecto.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2025-68458 是 webpack 5 中的服务器端请求伪造 (SSRF) 漏洞,允许攻击者绕过 allowedUris 限制,发起 HTTP(S) 请求。
如果您正在使用 webpack 5 且启用了 experiments.buildHttp 功能,则可能受到影响。建议升级至 5.104.1 或更高版本。
升级至 webpack 5.104.1 或更高版本是最佳修复方案。如果无法升级,请禁用 experiments.buildHttp 或严格审查 allowedUris 配置。
目前尚未公开可用的漏洞利用代码,但建议密切关注相关安全公告。
请查阅 webpack 官方安全公告或 GitHub 仓库,以获取有关 CVE-2025-68458 的最新信息。
CVSS 向量