发布日期：2026-02-05
更新日期：2026-05-26

受影响系统：

Webpack Webpack >= 5.49.0 < 5.104.1

描述：

---

CVE(CAN) ID: CVE-2025-68458

Webpack是Webpack开源的一个模块打包器，它的主要目的是捆绑JavaScript文件以便在浏览器中使用，但它也能够转换、捆绑或打包几乎任何资源或资产。
Webpack 5.49.0至5.104.1之前版本存在服务器端请求伪造漏洞，该漏洞源于当启用experiments.buildHttp时，可通过使用包含用户信息的特制URL绕过HTTP(S)解析器，攻击者可利用该漏洞构造包含用户信息的恶意URL，利用字符串前缀校验的缺陷绕过allowedUris限制，向非授权目标发起网络请求，触发构建时SSRF，并可将恶意响应作为模块代码打包进项目。

<*链接：https://github.com/webpack/webpack/security/advisories/GHSA-8fgc-7cc6-rx7x
*>

建议：

---

厂商补丁：

Webpack
-------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/webpack/webpack/security/advisories/GHSA-8fgc-7cc6-rx7x

浏览次数：58
严重程度：0（网友投票）