Vulnerabilidad en webpack-dev-server (CVE-2025-30359)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-749
Exposición de método o función peligrosos
Fecha de publicación:
03/06/2025
Última modificación:
04/06/2025
Descripción
webpack-dev-server permite a los usuarios usar webpack con un servidor de desarrollo que permite la recarga en tiempo real. Antes de la versión 5.2.1, el código fuente de los usuarios de webpack-dev-server podía ser robado al acceder a un sitio web malicioso. Dado que la solicitud de un script clásico mediante una etiqueta de script no está sujeta a la política del mismo origen, un atacante puede inyectar un script malicioso en su sitio y ejecutarlo. Tenga en cuenta que el atacante debe conocer el puerto y la ruta del script del punto de entrada de salida. Combinando la contaminación del prototipo, el atacante puede obtener una referencia a las variables de tiempo de ejecución de webpack. Al usar `Function::toString` con los valores de `__webpack_modules__`, el atacante puede obtener el código fuente. La versión 5.2.1 incluye un parche para este problema.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA