Vulnerabilidad en webpack-dev-server (CVE-2018-14732)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
21/09/2018
Última modificación:
01/08/2019
Descripción
Se ha descubierto un problema en lib/Server.js en webpack-dev-server en versiones anteriores a la 3.1.6. Los atacantes pueden robar el código del desarrollador porque el origen de las peticiones no es comprobado por el servidor WebSocket, utilizado para HMR (Hot Module Replacement). Cualquiera puede recibir el mensaje HMR enviado por el servidor WebSocket mediante una conexión ws://127.0.0.1:8080/ desde cualquier origen.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:webpack.js:webpack-dev-server:*:*:*:*:*:*:*:* | 3.1.6 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página