Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en webpack-dev-server (CVE-2025-30359)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-749 Exposición de método o función peligrosos
Fecha de publicación:
03/06/2025
Última modificación:
04/06/2025

Descripción

webpack-dev-server permite a los usuarios usar webpack con un servidor de desarrollo que permite la recarga en tiempo real. Antes de la versión 5.2.1, el código fuente de los usuarios de webpack-dev-server podía ser robado al acceder a un sitio web malicioso. Dado que la solicitud de un script clásico mediante una etiqueta de script no está sujeta a la política del mismo origen, un atacante puede inyectar un script malicioso en su sitio y ejecutarlo. Tenga en cuenta que el atacante debe conocer el puerto y la ruta del script del punto de entrada de salida. Combinando la contaminación del prototipo, el atacante puede obtener una referencia a las variables de tiempo de ejecución de webpack. Al usar `Function::toString` con los valores de `__webpack_modules__`, el atacante puede obtener el código fuente. La versión 5.2.1 incluye un parche para este problema.