Vulnerabilidad en Webpack (CVE-2025-68458)

Webpack es un empaquetador de módulos. Desde la versión 5.49.0 hasta antes de la 5.104.1, cuando experiments.buildHttp está habilitado, el resolvedor HTTP(S) de webpack (HttpUriPlugin) puede ser eludido para obtener recursos de hosts fuera de allowedUris utilizando URLs manipuladas que incluyen userinfo (username:password@host). Si la aplicación de allowedUris se basa en una comprobación de prefijo de cadena sin procesar (por ejemplo, uri.startsWith(allowed)), una URL que parece estar en la lista de permitidos puede pasar la validación mientras que la solicitud de red real se envía a una autoridad/host diferente después del análisis de la URL. Esto es una omisión de política/lista de permitidos que habilita el comportamiento SSRF en tiempo de compilación (solicitudes salientes desde la máquina de compilación a puntos finales solo internos, dependiendo del acceso a la red) y la inclusión de contenido no confiable (la respuesta obtenida se trata como fuente de módulo y se empaqueta). Este problema ha sido parcheado en la versión 5.104.1.