CVE-2025-30359

Nome do Software Vulnerável e Versões Afetadas Versões do webpack-dev-server anteriores à 5.2.1

Descrição A vulnerabilidade permite que um atacante roube o código fonte dos usuários quando estes acessam um site malicioso. Isso é possível porque a requisição de um script clássico via tag script não está sujeita à política de mesma origem, permitindo que um atacante injete e execute um script malicioso. O atacante precisa conhecer a porta e o caminho do script de entrypoint de saída. Ao combinar isso com poluição de protótipo, o atacante pode obter uma referência às variáveis de runtime do webpack. O uso de Function::toString nos valores em webpack modules permite que o atacante obtenha o código fonte.

Recomendações Para versões anteriores à 5.2.1, atualize para a versão 5.2.1 ou posterior para resolver a vulnerabilidade. Como medida temporária, considere restringir o acesso ao servidor de desenvolvimento para minimizar o risco de exploração. Evite usar a variável webpack modules em contextos sensíveis até que a vulnerabilidade seja resolvida.