CVE-2026-49356
NiskieCVSS 3.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
Babel to kompilator do pisania nowoczesnego JavaScript. Przed wersjami 8.0.0-rc.6 i 7.29.6, @babel/core był podatny na odczyt dowolnego pliku przez komentarz sourceMappingURL. Użycie @babel/core do kompilacji złośliwie spreparowanego kodu może pozwolić atakującemu na odczyt dowolnej mapy źródłowej z systemu, na którym działa Babel, jeśli atakujący kontroluje wejściowy kod źródłowy, może odczytać wyjściowy kod źródłowy i zna ścieżkę pliku mapy źródłowej, który chce odczytać.
Ocena ryzyka
Ryzyko polega na możliwości odczytu poufnych plików map źródłowych z systemu, co może ujawnić strukturę aplikacji lub inne wrażliwe dane.
Rekomendacja
Należy niezwłocznie zaktualizować @babel/core do wersji 8.0.0-rc.6 lub 7.29.6, które zawierają poprawkę eliminującą tę podatność.
Oryginalny opis (angielski, źródło NVD)
Babel is a compiler for writing next generation JavaScript. Prior to 8.0.0-rc.6 and 7.29.6, @babel/core affected by an arbitrary file read via a sourceMappingURL comment. Using @babel/core to compile maliciously crafted code can allow an attacker to read any source map from the system that is running Babel, if the attacker controls the input source code, can read the output source code, and knows the path of the source map file that they want to read. This vulnerability is fixed in 8.0.0-rc.6 and 7.29.6.

