Realtime JSer.info
About

DOM Clobbering Gadget found in Webpack's AutoPublicPathRuntimeModule that leads to XSS · Advisory · webpack/webpack

2024年09月01日 11:05 • Edit on GitHub

Tags:
  • webpack
  • ReleaseNote
  • security
https://github.com/webpack/webpack/security/advisories/GHSA-4vvj-4cpr-p986

webpackのセキュリティリリース。 ユーザーが任意の属性を含む<img>タグをかける場合に、webpackのpublicPath: 'auto'が有効なbundleを読み込むとXSSが発生する問題。 webpack 5.94.0で修正された。

関連URL

  • Release v5.94.0 · webpack/webpack
  • security: fix DOM clobbering in auto public path by alexander-akait · Pull Request #18700 · webpack/webpack

Realtime JSer.info

  • Realtime JSer.info
  • jser
  • jser_info

リアルタイム版 JSer.info