CWE-1385ВариантНеполный
Отсутствие проверки источника в WebSockets
Продукт использует WebSocket, однако не выполняет надлежащей верификации того, что источник данных или соединения является допустимым.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2024-23168Уязвимость в Xiexe XSOverlay до сборки 647 позволяет нелокальным веб-сайтам отправлять вредоносные команды в WebSocket API, что приводит к произвольному выполнению кода.
CVE-2014-125071В lukehutch Gribbit была обнаружена уязвимость. Она была классифицирована как проблематичная. Уязвима функция messageReceived файла src/gribbit/request/HttpRequestHandler.java. Манипуляция приводит к отсутствию проверки происхождения в веб-сокетах. Имя патча — 620418df247aebda3dd4be1dda10fe229ea505dd. Рекомендуется применить патч для устранения этой проблемы. Идентификатор этой уязвимости — VDB-217716.
CVE-2023-0957Проблема была обнаружена в Gitpod версий до release-2022.11.2.16. Существует уязвимость Cross-Site WebSocket Hijacking (CSWSH), которая позволяет злоумышленникам устанавливать WebSocket-соединения с сервером Gitpod JSONRPC, используя учетные данные жертвы, поскольку заголовок Origin не ограничен. Это может привести к извлечению данных из рабочих пространств, к полному захвату рабочего пространства.
CVE-2023-26114Версии пакета code-server до 4.10.1 подвержены отсутствию проверки источника в подтверждениях WebSockets. Эксплуатация этой уязвимости может позволить злоумышленнику в определенных сценариях получить доступ к данным и подключиться к экземпляру code-server.
CVE-2025-52882Claude Code is an agentic coding tool. Claude Code extensions in VSCode and forks (e.g., Cursor, Windsurf, and VSCodium) and JetBrains IDEs (e.g., IntelliJ, Pycharm, and Android Studio) are vulnerable to unauthorized websocket connections from an attacker when visiting attacker-controlled webpages. Claude Code for VSCode IDE extensions versions 0.2.116 through 1.0.23 are vulnerable. For Jetbrains IDE plugins, Claude Code [beta] versions 0.1.1 through 0.1.8 are vulnerable. In VSCode (and forks), exploitation would allow an attacker to read arbitrary files, see the list of files open in the IDE, get selection and diagnostics events from the IDE, or execute code in limited situations where a user has an open Jupyter Notebook and accepts a malicious prompt. In JetBrains IDEs, an attacker could get selection events, a list of open files, and a list of syntax errors. Claude released a patch for this issue on June 13th, 2025. Although Claude Code auto-updates when a user launch it and auto-updates the extensions, users should take the following steps, though the exact steps depend on one's integrated development environment (IDE). For VSCode, Cursor, Windsurf, VSCodium, and other VSCode forks, check the extension Claude Code for VSCode. Open the list of Extensions (View->Extensions), look for Claude Code for VSCode among installed extensions, update or uninstall any version prior to 1.0.24, and restart the IDE. For JetBrains IDEs including IntelliJ, PyCharm, and Android Studio, check the plugin Claude Code [Beta]. Open the Plugins list, look for Claude Code [Beta] among installed extensions, update or uninstall any version prior to 0.1.9, and restart the IDE.
CVE-2025-24964Vitest — это фреймворк тестирования на основе Vite. Затронутые версии подвержены произвольному удаленному выполнению кода при доступе к вредоносному веб-сайту, когда API сервера Vitest прослушивает атаки перехвата веб-сокетов (CSWSH). Когда параметр `api` включен (интерфейс Vitest включает его), Vitest запускает сервер WebSocket. Этот сервер WebSocket не проверял заголовок Origin и не имел механизма аутентификации, что делало его уязвимым к атакам CSWSH. Этот сервер WebSocket имеет API `saveTestFile`, который может редактировать файл теста, и API `rerun`, который может повторно запустить тесты. Злоумышленник может выполнить произвольный код, внедрив код в файл теста через API `saveTestFile`, а затем запустив этот файл, вызвав API `rerun`. Эта уязвимость может привести к удаленному выполнению кода для пользователей, использующих API сервера Vitest. Эта проблема была исправлена в версиях 1.6.1, 2.1.9 и 3.0.5. Пользователям рекомендуется обновиться. Нет известных обходных путей.
CVE-2024-48849Уязвимость Missing Origin Validation in WebSockets во FLXEON. Управление сеансами было недостаточным для предотвращения несанкционированных HTTPS-запросов. Эта проблема затрагивает FLXEON: версии <= 9.3.4.
CVE-2023-49805Uptime Kuma — это простой в использовании инструмент мониторинга с самостоятельным размещением. До версии 1.23.9 приложение использует WebSocket (с Socket.io), но не проверяет, является ли источник связи действительным. Это позволяет стороннему веб-сайту получить доступ к приложению от имени своего клиента. При подключении к серверу с помощью Socket.IO сервер не проверяет заголовок `Origin`, что позволяет другому сайту открывать соединения с сервером и общаться с ним. Другим веб-сайтам все равно необходимо пройти аутентификацию для доступа к большинству функций, однако это можно использовать для обхода защиты брандмауэра, установленной людьми, развертывающими приложение. Без проверки источника Javascript, выполняемый из другого источника, может подключаться к приложению без какого-либо взаимодействия с пользователем. Без учетных данных для входа такое соединение не может получить доступ к защищенным конечным точкам, содержащим конфиденциальные данные приложения. Однако такое соединение может позволить злоумышленнику и дальше эксплуатировать невидимые уязвимости приложения. Пользователи с настроенным режимом «Без аутентификации», которые полагаются на обратный прокси или брандмауэр для обеспечения защиты приложения, будут особенно уязвимы, поскольку это предоставит злоумышленнику полный доступ к приложению. В версии 1.23.9 добавлена дополнительная проверка заголовка HTTP Origin в обработчик соединений socket.io. По умолчанию, если присутствует заголовок `Origin`, он будет проверен на соответствие заголовку Host. Соединение будет отклонено, если имена хостов не совпадают, что укажет на то, что запрос является межсайтовым. Соединение будет разрешено, если заголовок `Origin` отсутствует. Пользователи могут переопределить это поведение, установив переменную среды `UPTIME_KUMA_WS_ORIGIN_CHECK=bypass`.
CVE-2023-2848Movim до версии 0.22 подвержен уязвимости межсайтового захвата WebSocket. Это было результатом отсутствия проверки заголовка.
CVE-2025-54289В LXD версии 6.5 и 5.21.4 (а также в более ранних версиях) API operations раскрывает секретные значения, необходимые для установления WebSocket‑соединения при работе с терминальными и консольными сессиями. Эти секреты используются для аутентификации WebSocket‑соединений. Пользователь, обладающий лишь правом чтения, может получить секрет из ответа operations API и перехватить WebSocket‑соединение, открывающее терминал другого пользователя. Перехват позволяет выполнять произвольные команды внутри контейнера от имени жертвы, что приводит к повышению привилегий и потенциальному удалённому выполнению кода. Уязвимость была обнаружена исследователем и исправлена в LXD 6.5 и 5.21.4. [1]
Источники:
- [1] https://github.com/canonical/lxd/security/advisories/GHSA-3g72-chj4-2228
CVE-2025-61987GroupSession Free edition prior to ver5.3.0, GroupSession byCloud prior to ver5.3.3, and GroupSession ZION prior to ver5.3.2. do not validate origins in WebSockets. If a user accesses a crafted page, Chat information sent to the user may be exposed.
CVE-2026-22689Mailpit is an email testing tool and API for developers. Prior to version 1.28.2, the Mailpit WebSocket server is configured to accept connections from any origin. This lack of Origin header validation introduces a Cross-Site WebSocket Hijacking (CSWSH) vulnerability. An attacker can host a malicious website that, when visited by a developer running Mailpit locally, establishes a WebSocket connection to the victim's Mailpit instance (default ws://localhost:8025). This allows the attacker to intercept sensitive data such as email contents, headers, and server statistics in real-time. This issue has been patched in version 1.28.2.
CVE-2025-68930Versions of the Traccar open-source GPS tracking system up to and including 6.11.1 contain a Cross-Site WebSocket Hijacking (CSWSH) vulnerability in the `/api/socket` endpoint. The application fails to validate the `Origin` header during the WebSocket handshake. This allows a remote attacker to bypass the Same Origin Policy (SOP) and establish a full-duplex WebSocket connection using a legitimate user's credentials (JSESSIONID). As of time of publication, it is unclear whether a fix is available.
CVE-2025-56647npm @farmfe/core before 1.7.6 is Missing Origin Validation in WebSocket. The development (hot module reloading) server does not validate origin when connecting to a WebSocket client. This allows attackers to surveil developers running Farm who visit their webpage and steal source code that is leaked by the WebSocket server.
CVE-2025-36116IBM Db2 Mirror for i GUI версий 7.4, 7.5 и 7.6 подвержен уязвимости межсайтового захвата WebSocket [1]. Неаутентифицированный злоумышленник может отправить специально сформированный запрос для перехвата существующего соединения WebSocket, а затем выполнить операции, которые не разрешены пользователю. Для устранения уязвимости необходимо применить PTF к IBM i. Номера PTF для 5770-DBM, содержащие исправления, приведены в таблице в бюллетене безопасности IBM.
Источники:
- [1] https://www.ibm.com/support/pages/node/7240351