CVE-2026-14631
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 — wyżej niż 23% wszystkich znanych CVE
Streszczenie
Podatność w webpack-dev-server w wersjach 5.2.5 i wcześniejszych powoduje zakończenie procesu Node.js po otrzymaniu od nieuwierzytelnionego peera żądania HTTP z nieprawidłowym nagłówkiem Host lub żądania WebSocket z nieprawidłowym nagłówkiem Origin. Nieprawidłowa wartość wywołuje nieobsłużony wyjątek w walidacji hosta i powoduje awarię serwera deweloperskiego.
Ocena ryzyka
Ryzyko polega na przerwaniu dostępności serwera deweloperskiego, co może zakłócić proces tworzenia oprogramowania. Podatność nie prowadzi do ujawnienia danych ani wykonania kodu.
Rekomendacja
Zaleca się aktualizację do wersji webpack-dev-server 5.2.6. Jako tymczasowe obejście należy utrzymywać serwer deweloperski związany z localhost (domyślnie) i nie wystawiać go na niezaufane sieci.
Oryginalny opis (angielski, źródło NVD)
webpack-dev-server versions 5.2.5 and earlier terminate the whole Node.js process when an unauthenticated peer sends either a normal HTTP request with a malformed Host header or a WebSocket upgrade to the default /ws endpoint with a malformed Origin header. The malformed value causes an uncaught exception in the host-validation path and crashes the dev server. Impact is limited to availability of the development server, no data disclosure, no code execution. Patches: upgrade to webpack-dev-server 5.2.6. Workarounds: keep the dev server bound to localhost (the default) and do not expose it to untrusted networks.

