发布日期：2024-03-21
更新日期：2024-05-21

受影响系统：

webpack-dev-middleware webpack-dev-middleware < 7.1.0
webpack-dev-middleware webpack-dev-middleware < 6.1.2
webpack-dev-middleware webpack-dev-middleware < 5.3.4

描述：

---

CVE(CAN) ID: CVE-2024-29180

webpack-dev-middleware是webpack开源的一个express风格的开发中间件，用于webpack捆绑包，并允许提供从webpack发出的文件。
webpack-dev-middleware 7.1.0之前版本、6.1.2之前版本、5.3.4之前版本存在路径遍历漏洞，该漏洞源于程序未正确验证URL地址，攻击者可利用该漏洞访问开发者机器上的任意文件。

<**>

建议：

---

厂商补丁：

webpack-dev-middleware
----------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/webpack/webpack-dev-middleware/blob/7ed24e0b9f53ad1562343f9f517f0f0ad2a70377/src/utils/getFilenameFromUrl.js#L82

浏览次数：447
严重程度：0（网友投票）