CVE-2026-6402 in webpack-dev-serverinfo

Zusammenfassung

von VulDB • 22.05.2026

Die Versionen von webpack-dev-server bis einschließlich 5.2.3 sind anfällig für die Offenlegung von Quellcode über Origin-Grenzen hinweg (Cross-Origin Source Code Exposure), wenn über ein nicht potenziell vertrauenswürdiges Ursprungsgebiet wie plain HTTP bedient wird. Die vorherige Korrektur stützte sich auf die HTTP-Anforderungsheader Sec-Fetch-Mode und Sec-Fetch-Site, die Browser für nicht vertrauenswürdige Ursprünge weglassen, wodurch eine bösartige Website den gebündelten Quellcode als Skript laden und originübergreifend lesen kann. Auswirkung: Ein Angreifer, der eine Website kontrolliert, die von einem Entwickler besucht wird, der webpack-dev-server ausführt, kann den Anwendungsquellcode wiederherstellen, wenn der Dev-Server über HTTP mit einem erratbaren Host und Port läuft. Chromium-basierte Browser ab Chrome 142 sind aufgrund von Einschränkungen für den Zugriff im lokalen Netzwerk nicht betroffen. Aktualisieren Sie auf webpack-dev-server 5.2.4 oder höher, das Cross-Origin-Resource-Policy: same-origin auf Antworten festlegt.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

Openjs

Reservieren

15.04.2026

Veröffentlichung

12.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362970

CPE

bereit

EPSS

0.00032

KEV

nein

Aktivitäten

low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-6402
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-6402
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-6402/

ZurückÜbersichtWeiter

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!