Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en webpack-dev-server (CVE-2018-14732)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20 Validación incorrecta de entrada
Fecha de publicación:
21/09/2018
Última modificación:
01/08/2019

Descripción

Se ha descubierto un problema en lib/Server.js en webpack-dev-server en versiones anteriores a la 3.1.6. Los atacantes pueden robar el código del desarrollador porque el origen de las peticiones no es comprobado por el servidor WebSocket, utilizado para HMR (Hot Module Replacement). Cualquiera puede recibir el mensaje HMR enviado por el servidor WebSocket mediante una conexión ws://127.0.0.1:8080/ desde cualquier origen.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:webpack.js:webpack-dev-server:*:*:*:*:*:*:*:* 3.1.6 (excluyendo)