PT-2026-55575 · Npm · Webpack-Dev-Server
Bjohansebas
+2
·
Publicado
2026-07-03
·
Atualizado
2026-07-03
·
CVE-2026-14620
CVSS v3.1
4.7
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L |
Nome do Software Vulnerável e Versões Afetadas
webpack-dev-server versões anteriores a 5.2.6
Description
Os endpoints internos de desenvolvedor '/webpack-dev-server/open-editor' e '/webpack-dev-server/invalidate' executam ações de alteração de estado em requisições GET sem verificar a origem da requisição. Isso permite que qualquer site visitado por um desenvolvedor acione esses endpoints de forma cross-origin. Um invasor pode abrir arquivos locais arbitrários no editor do desenvolvedor, incluindo arquivos fora da raiz do projeto. Além disso, requisições repetidas podem gerar múltiplos processos do editor e forçar recompilações, resultando na degradação do desempenho da máquina do desenvolvedor.
Recommendations
Atualize para o webpack-dev-server 5.2.6.
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Webpack-Dev-Server