| Title | webpackのwebpack-dev-serverにおける複数の脆弱性 |
|---|---|
| Summary | 影響:ユーザーが設定したwebpack-dev-serverのプロキシが広範囲のコンテキスト(例:/)であり、かつws: trueの場合、開発サーバー自身のHMR WebSocketもインターセプトしてプロキシターゲットに転送します。これにより、ブラウザのクッキーおよびOriginヘッダーがバックエンドに漏洩し、開発サーバーのHost/Origin検証を回避し、HMRソケットが破損します(HMRとプロキシの両方が同じソケットに書き込みを行うためです)。パッチはwebpack-dev-server@5.2.5で修正済みです。回避策としては、ユーザー定義プロキシのコンテキストを/ではなく特定のパスに限定するか、WebSocket転送が不要な場合はプロキシ設定からws: trueを省略してください。 |
| Possible impacts | ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアの一部が停止する可能性があります。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 15, 2026, midnight |
| Registration Date | June 17, 2026, 3:37 p.m. |
| Last Update | June 17, 2026, 3:37 p.m. |
| CVSS3.0 : 警告 | |
| Score | 4.3 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月17日] 掲載 |
June 17, 2026, 3:37 p.m. |
| Summary | Impact: When a user-configured proxy on webpack-dev-server has a broad context (e.g. /) and ws: true, it also intercepts the dev server's own HMR WebSocket and forwards it to the proxy target. This leaks the browser's cookies and Origin header to the backend, bypasses the dev server's Host/Origin validation, and corrupts the HMR socket (both HMR and the proxy end up writing to the same socket). Patches: Fixed in webpack-dev-server@5.2.5. Workarounds: Scope user-defined proxy context to specific paths instead of /, or omit ws: true from the proxy entry when WebSocket forwarding is not required. |
|---|---|
| Publication Date | June 16, 2026, 1:16 a.m. |
| Registration Date | June 16, 2026, 4:12 a.m. |
| Last Update | June 17, 2026, 2:24 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:webpack.js:webpack-dev-server:*:*:*:*:*:*:*:* | 5.2.5 | ||||