Katalog CVE

CVE-2026-27148

KrytyczneCVSS 9.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.54%

Percentyl 41 - wyżej niż 41% wszystkich znanych CVE

Streszczenie

Storybook przed wersjami 7.6.23, 8.6.17, 9.1.19 i 10.2.10 zawiera podatność na przejęcie WebSocket w serwerze deweloperskim. Brak walidacji pochodzenia połączeń WebSocket umożliwia atakującemu wysyłanie złośliwych wiadomości, co może prowadzić do trwałego XSS lub zdalnego wykonania kodu (RCE) poprzez niesanitowane pole componentFilePath.

Ocena ryzyka

Ryzyko dla organizacji polega na możliwości przejęcia lokalnego serwera deweloperskiego przez atakującego, co może skutkować kradzieżą danych, modyfikacją kodu lub dalszym atakiem na infrastrukturę programisty. W przypadku publicznego wystawienia serwera ryzyko jest jeszcze wyższe, ponieważ atak nie wymaga interakcji użytkownika.

Rekomendacja

Należy niezwłocznie zaktualizować Storybook do wersji 7.6.23, 8.6.17, 9.1.19 lub 10.2.10. Dodatkowo zaleca się nie wystawiać publicznie serwera deweloperskiego oraz stosować mechanizmy walidacji pochodzenia połączeń WebSocket.

Oryginalny opis (angielski, źródło NVD)

Storybook is a frontend workshop for building user interface components and pages in isolation. Prior to versions 7.6.23, 8.6.17, 9.1.19, and 10.2.10, the WebSocket functionality in Storybook's dev server, used to create and update stories, is vulnerable to WebSocket hijacking. This vulnerability only affects the Storybook dev server; production builds are not impacted. Exploitation requires a developer to visit a malicious website while their local Storybook dev server is running. Because the WebSocket connection does not validate the origin of incoming connections, a malicious site can silently send WebSocket messages to the local instance without any further user interaction. If the Storybook dev server is intentionally exposed publicly (e.g. for design reviews or stakeholder demos) the risk is higher, as no malicious site visit is required. Any unauthenticated attacker can send WebSocket messages to it directly. The vulnerability affects the WebSocket message handlers for creating and saving stories. Both are vulnerable to injection via unsanitized input in the componentFilePath field, which can be exploited to achieve persistent XSS or Remote Code Execution (RCE). Versions 7.6.23, 8.6.17, 9.1.19, and 10.2.10 contain a fix for the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS