CVE-2026-9595

Nome do Software Vulnerável e Versões Afetadas webpack-dev-server versões anteriores a 5.2.5

Descrição Um proxy configurado pelo usuário com um contexto amplo (ex: '/') e ws: true intercepta o WebSocket de Hot Module Replacement (HMR) do próprio servidor de desenvolvimento e o encaminha para o alvo do proxy. Isso resulta no vazamento de cookies do navegador e do cabeçalho Origin para o backend, além de ignorar a validação de Host/Origin do servidor de desenvolvimento. Adicionalmente, isso causa a corrupção do socket HMR, pois tanto o HMR quanto o proxy tentam escrever no mesmo socket.

Recomendações Atualize para a versão 5.2.5. Defina o contexto do proxy configurado pelo usuário para caminhos específicos em vez de '/'. Omita ws: true da entrada do proxy quando o encaminhamento de WebSocket não for necessário.