製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

webpackのwebpack-dev-serverにおける複数の脆弱性

タイトル	webpackのwebpack-dev-serverにおける複数の脆弱性
概要	影響：ユーザーが設定したwebpack-dev-serverのプロキシが広範囲のコンテキスト（例：/）であり、かつws: trueの場合、開発サーバー自身のHMR WebSocketもインターセプトしてプロキシターゲットに転送します。これにより、ブラウザのクッキーおよびOriginヘッダーがバックエンドに漏洩し、開発サーバーのHost/Origin検証を回避し、HMRソケットが破損します（HMRとプロキシの両方が同じソケットに書き込みを行うためです）。パッチはwebpack-dev-server@5.2.5で修正済みです。回避策としては、ユーザー定義プロキシのコンテキストを/ではなく特定のパスに限定するか、WebSocket転送が不要な場合はプロキシ設定からws: trueを省略してください。
想定される影響	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアの一部が停止する可能性があります。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月15日0:00
登録日	2026年6月17日15:37
最終更新日	2026年6月17日15:37

CVSS3.0 : 警告
スコア	4.3
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:L

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-9595	https://www.cve.org/CVERecord?id=CVE-2026-9595
National Vulnerability Database (NVD)
2	CVE-2026-9595	https://nvd.nist.gov/vuln/detail/CVE-2026-9595

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-346	https://cwe.mitre.org/data/definitions/346.html
2	CWE-441	https://cwe.mitre.org/data/definitions/441.html

ベンダー情報

No	名前	URL
GitHub
1	webpack-dev-server vulnerable to HMR WebSocket interception via permissive user proxies Advisory webpack/webpack-dev-server GitHub	https://github.com/webpack/webpack-dev-server/security/advisories/GHSA-mx8g-39q3-5c79
Open JS Foundation
2	Security Advisories \| OpenJS Foundation CVE Numbering Authority	https://cna.openjsf.org/security-advisories.html

その他

No	名前	URL
関連文書
1	Fix for #6720: HMR not working in Firefox if proxy option present by dmile Pull Request #7444 react/create-react-app GitHub	https://github.com/facebook/create-react-app/pull/7444
2	fix: should not proxy sockjs endpoint (#4550) vuejs/vue-cli@72ba750 GitHub	https://github.com/vuejs/vue-cli/commit/72ba7505aff2a8314e82aa5082379a77504a1fcb
3	fix: skip HMR websocket path when forwarding upgrades to user-defined proxies by ajhyndman Pull Request #4316 webpack/webpack-dev-server GitHub	https://github.com/webpack/webpack-dev-server/pull/4316

変更履歴

No	変更内容	変更日
1	[2026年06月17日] 掲載	2026年6月17日15:37

NVD脆弱性情報

CVE-2026-9595

概要	Impact: When a user-configured proxy on webpack-dev-server has a broad context (e.g. /) and ws: true, it also intercepts the dev server's own HMR WebSocket and forwards it to the proxy target. This leaks the browser's cookies and Origin header to the backend, bypasses the dev server's Host/Origin validation, and corrupts the HMR socket (both HMR and the proxy end up writing to the same socket). Patches: Fixed in webpack-dev-server@5.2.5. Workarounds: Scope user-defined proxy context to specific paths instead of /, or omit ws: true from the proxy entry when WebSocket forwarding is not required.
公表日	2026年6月16日1:16
登録日	2026年6月16日4:12
最終更新日	2026年6月17日2:24

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:webpack.js:webpack-dev-server::::::::					5.2.5

関連情報、対策とツール

No	URL	refsource	タグ
1	https://cna.openjsf.org/security-advisories.html	ce714d77-add3-4f53-aff5-83d477b104bb
2	https://github.com/facebook/create-react-app/pull/7444	ce714d77-add3-4f53-aff5-83d477b104bb
3	https://github.com/vuejs/vue-cli/commit/72ba7505aff2a8314e82aa5082379a77504a1fcb	ce714d77-add3-4f53-aff5-83d477b104bb
4	https://github.com/webpack/webpack-dev-server/pull/4316	ce714d77-add3-4f53-aff5-83d477b104bb
5	https://github.com/webpack/webpack-dev-server/security/advisories/GHSA-mx8g-39q3-5c79	ce714d77-add3-4f53-aff5-83d477b104bb

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-346	同一生成元ポリシー違反	https://cwe.mitre.org/data/definitions/346.html
2	CWE-441	フィルタリング回避	https://cwe.mitre.org/data/definitions/441.html