Palirichtarik

**Nome do software vulnerável e versões afetadas:** versões do webpack-dev-middleware anteriores à 7.1.0 versões do webpack-dev-middleware anteriores à 6.1.2 versões do webpack-dev-middleware anteriores à 5.3.4 **Descrição:** O webpack-dev-middleware não valida suficientemente o endereço URL fornecido antes de retornar o arquivo local, permitindo potencialmente o acesso a qualquer arquivo na máquina do desenvolvedor. O middleware pode operar tanto com o sistema de arquivos físico (quando `writeToDisk` está definido como `true`) quanto com um sistema de arquivos `memfs` virtualizado na memória. O método `getFilenameFromUrl` analisa a URL e constrói o caminho do arquivo local. Como a URL não é automaticamente desescapada e normalizada antes do processamento, sequências como `%2e` e `%2f` podem ser usadas para realizar um ataque de traversal de caminho. Desenvolvedores que utilizam `webpack-dev-server` ou `webpack-dev-middleware` são afetados. Um invasor poderia potencialmente acessar e extrair arquivos da máquina do desenvolvedor, especialmente se o servidor de desenvolvimento estiver escutando em um endereço IP público ou permitir acesso a partir de domínios de terceiros. **Recomendações:** Atualize para a versão 7.1.0 ou posterior do webpack-dev-middleware. Atualize para a versão 6.1.2 ou posterior do webpack-dev-middleware. Atualize para a versão 5.3.4 ou posterior do webpack-dev-middleware.