PT-2026-55575 · Npm · Webpack-Dev-Server

Bjohansebas

+2

·

Publicado

2026-07-03

·

Atualizado

2026-07-03

·

CVE-2026-14620

CVSS v3.1

4.7

Média

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:N/I:N/A:L
Nome do Software Vulnerável e Versões Afetadas webpack-dev-server versões anteriores a 5.2.6
Description Os endpoints internos de desenvolvedor '/webpack-dev-server/open-editor' e '/webpack-dev-server/invalidate' executam ações de alteração de estado em requisições GET sem verificar a origem da requisição. Isso permite que qualquer site visitado por um desenvolvedor acione esses endpoints de forma cross-origin. Um invasor pode abrir arquivos locais arbitrários no editor do desenvolvedor, incluindo arquivos fora da raiz do projeto. Além disso, requisições repetidas podem gerar múltiplos processos do editor e forçar recompilações, resultando na degradação do desempenho da máquina do desenvolvedor.
Recommendations Atualize para o webpack-dev-server 5.2.6.

Correção

CSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-14620

Produtos afetados

Webpack-Dev-Server