Parcel存在源验证错误漏洞，可导致源代码泄露

本文详细分析了Parcel打包工具中存在的源验证错误漏洞(CVE-2025-56648)，该漏洞允许恶意网站通过XMLHTTPRequests访问开发服务器并窃取源代码，影响版本为1.6.0至2.16.0。

Parcel存在源验证错误漏洞 · CVE-2025-56648

漏洞详情

包管理器: npm
受影响包: @parcel/reporter-dev-server
受影响版本: >= 1.6.0, <= 2.16.0
已修复版本: 无

漏洞描述

Parcel版本1.6.0及以上存在源验证错误漏洞。当开发人员访问恶意网站时，这些网站可以向应用程序的开发服务器发送XMLHTTPRequests并读取响应，从而窃取源代码。

参考资料

https://nvd.nist.gov/vuln/detail/CVE-2025-56648
parcel-bundler/parcel#10216
https://gist.github.com/R4356th/41f468def606b2406e36f7193f5322b8
parcel-bundler/parcel#10089
parcel-bundler/parcel#10138

安全信息

严重程度: 中等
CVSS总体评分: 6.5/10

CVSS v3基础指标:

攻击向量: 网络
攻击复杂度: 低
所需权限: 无
用户交互: 需要
范围: 未改变
机密性: 高
完整性: 无
可用性: 无

CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N

EPSS评分: 0.021% (第4百分位)

弱点分类

弱点类型: CWE-346
弱点描述: 源验证错误 - 产品未能正确验证数据或通信来源的有效性。

标识符

CVE ID: CVE-2025-56648
GHSA ID: GHSA-qm9p-f9j5-w83w

源代码

parcel-bundler/parcel

致谢

R4356th (分析师)
G-Rath (分析师)

comments powered by Disqus