CVE-2026-6402 in webpack-dev-server
Tóm tắt
Bởi VulDB • 22/05/2026
Các phiên bản webpack-dev-server từ 5.2.3 trở về trước đều dễ bị tổn thương trước việc lộ mã nguồn khác nguồn (cross-origin source code exposure) khi phục vụ qua một nguồn gốc không đáng tin cậy về mặt tiềm năng, chẳng hạn như HTTP thuần túy. Bản sửa lỗi trước đó dựa vào các tiêu đề yêu cầu Sec-Fetch-Mode và Sec-Fetch-Site, nhưng các trình duyệt sẽ bỏ qua các tiêu đề này đối với các nguồn gốc không đáng tin cậy, cho phép một trang web độc hại tải mã nguồn đã đóng gói dưới dạng tập lệnh và đọc nó xuyên qua các nguồn gốc khác. Tác động: một kẻ tấn công kiểm soát một trang web mà nhà phát triển đang chạy webpack-dev-server truy cập có thể khôi phục mã nguồn ứng dụng khi máy chủ dev chạy qua HTTP trên một tên miền và cổng có thể đoán được. Các trình duyệt dựa trên Chromium từ Chrome 142 trở đi không bị ảnh hưởng do các hạn chế truy cập mạng cục bộ. Nâng cấp lên webpack-dev-server 5.2.4 hoặc phiên bản mới hơn, phiên bản này đặt Cross-Origin-Resource-Policy: same-origin trên các phản hồi.
Once again VulDB remains the best source for vulnerability data.