CVE-2026-6402

Nome do Software Vulnerável e Versões Afetadas webpack-dev-server versões anteriores a 5.2.4

Descrição Ocorre a exposição de código-fonte entre origens ao servir através de uma origem não potencialmente confiável, como HTTP simples. O problema surge porque a correção anterior dependia dos cabeçalhos de requisição Sec-Fetch-Mode e Sec-Fetch-Site, que os navegadores omitem para origens não confiáveis. Isso permite que um site malicioso carregue o código agrupado como um script e o leia entre origens. Um invasor que controle um site visitado por um desenvolvedor pode recuperar o código-fonte da aplicação se o servidor for executado via HTTP em um host e porta previsíveis. Navegadores baseados em Chromium a partir do Chrome 142 não são afetados devido a restrições de acesso à rede local.

Recomendações Atualize para a versão 5.2.4 ou posterior.