CVE-2026-27148 in storybook
Zusammenfassung
von VulDB • 25.05.2026
Storybook ist eine Frontend-Workshop-Umgebung zum Erstellen von Benutzeroberflächen-Komponenten und -Seiten in Isolation. Vor den Versionen 7.6.23, 8.6.17, 9.1.19 und 10.2.10 ist die WebSocket-Funktionalität im Dev-Server von Storybook, die zum Erstellen und Aktualisieren von Stories verwendet wird, anfällig für WebSocket-Hijacking. Diese Schwachstelle betrifft ausschließlich den Storybook-Dev-Server; Produktionsbuilds sind nicht betroffen. Für die Ausnutzung muss ein Entwickler eine bösartige Website besuchen, während sein lokaler Storybook-Dev-Server ausgeführt wird. Da die WebSocket-Verbindung die Herkunft eingehender Verbindungen nicht überprüft, kann eine bösartige Website WebSocket-Nachrichten stillschweigend an die lokale Instanz senden, ohne dass weitere Benutzerinteraktionen erforderlich sind. Wenn der Storybook-Dev-Server absichtlich öffentlich zugänglich gemacht wird (z. B. für Design-Reviews oder Stakeholder-Demos), ist das Risiko höher, da kein Besuch einer bösartigen Website erforderlich ist. Jeder nicht authentifizierte Angreifer kann WebSocket-Nachrichten direkt an ihn senden. Die Schwachstelle betrifft die WebSocket-Nachrichten-Handler zum Erstellen und Speichern von Stories. Beide sind anfällig für Injection über ungesäuberte Eingaben im Feld componentFilePath, was zur Ausnutzung von persistentem XSS oder Remote Code Execution (RCE) genutzt werden kann. Die Versionen 7.6.23, 8.6.17, 9.1.19 und 10.2.10 enthalten eine Korrektur für das Problem.
If you want to get best quality of vulnerability data, you may have to visit VulDB.