CVE-2026-14620
ŚrednieCVSS 4.7Streszczenie
Podatność w webpack-dev-server w wersjach do 5.2.5 włącznie ujawnia dwa wewnętrzne endpointy deweloperskie, które wykonują zmiany stanu na każdym żądaniu GET bez weryfikacji pochodzenia żądania. Każda strona internetowa odwiedzona przez dewelopera podczas działania serwera może wywołać te endpointy między domenami bez żadnej interakcji poza samą wizytą.
Ocena ryzyka
Atakujący może otworzyć dowolny istniejący plik lokalny w edytorze dewelopera, w tym pliki poza katalogiem projektu, a powtarzane żądania mogą uruchamiać procesy edytora i wymuszać rekompilacje, co obciąża maszynę dewelopera.
Rekomendacja
Należy niezwłocznie zaktualizować webpack-dev-server do wersji 5.2.6 lub nowszej. Nie są dostępne żadne rozwiązania tymczasowe.
Oryginalny opis (angielski, źródło NVD)
webpack-dev-server versions 5.2.5 and earlier expose two internal developer endpoints, /webpack-dev-server/open-editor and /webpack-dev-server/invalidate, that perform state-changing actions on any GET request without verifying that the request originated from the dev server's own page. Any website a developer visits while the dev server is running can trigger these endpoints cross-origin with no interaction beyond the visit. An attacker can open an arbitrary existing local file in the developer's editor, including files outside the project root, and repeated requests can spawn editor processes and force recompilations that degrade the developer's machine. Patches: upgrade to webpack-dev-server 5.2.6. Workarounds: none.

