CVE-2026-6402 in webpack-dev-serverinformação

Sumário

de VulDB • 12/05/2026

As versões do webpack-dev-server até a 5.2.3, inclusive, são vulneráveis à exposição de código-fonte entre origens (cross-origin) ao serem servidas por meio de uma origem não potencialmente confiável, como HTTP puro. A correção anterior dependia dos cabeçalhos de solicitação Sec-Fetch-Mode e Sec-Fetch-Site, que os navegadores omitem para origens não confiáveis, permitindo que um site malicioso carregue o código-fonte empacotado como um script e o leia entre origens. Impacto: um atacante que controle um site visitado por um desenvolvedor executando o webpack-dev-server pode recuperar o código-fonte do aplicativo quando o servidor de desenvolvimento estiver executando sobre HTTP em um host e porta previsíveis. Navegadores baseados no Chromium a partir da versão 142 não são afetados devido às restrições de acesso à rede local. Atualize para o webpack-dev-server 5.2.4 ou posterior, que define Cross-Origin-Resource-Policy: same-origin nas respostas.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

Openjs

Reservar

15/04/2026

Divulgação

12/05/2026

Moderação

aceite

Entrada

VDB-362970

CPE

pronto

EPSS

0.00032

KEV

não

Atividades

baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-6402
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-6402
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-6402/

VoltarVisão GeralPróximo

Do you need the next level of professionalism?

Upgrade your account now!