Vulnerabilidad en V8 inspector (CVE-2023-7080)

V8 inspector permite intencionalmente la ejecución de código arbitrario dentro de la sandbox de Workers para su depuración. wrangler dev previamente iniciaría un servidor inspector escuchando en todas las interfaces de red. Esto permitiría a un atacante en la red local conectarse al inspector y ejecutar código arbitrario. Además, el servidor inspector no validó los encabezados Origin/Host, lo que le otorga a un atacante que puede engañar a cualquier usuario de la red local para que abra un sitio web malicioso la capacidad de ejecutar código. Si se usaba wrangler dev --remote, un atacante podría acceder a los recursos de producción si estuvieran vinculados al trabajador. Este problema se solucionó en wrangler@3.19.0 y wrangler@2.20.2. Si bien el servidor inspector de wrangler dev escucha en las interfaces locales de forma predeterminada a partir de wrangler@3.16.0, se ha detectado una vulnerabilidad SSRF en miniflare https://github.com/cloudflare/workers-sdk/security/advisories/GHSA-fwvg-2739-22v7 ( CVE-2023-7078) permitía el acceso desde la red local hasta wrangler@3.18.0. wrangler@3.19.0 y wrangler@2.20.2 introdujeron la validación para los encabezados Origen/Host.