CWE-1385 · Отсутствие проверки источника в WebSockets

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-1385ВариантНеполный

Абстракция: Вариант

Статус: Неполный

Источник ↗

Отсутствие проверки источника в WebSockets

Продукт использует WebSocket, однако не выполняет надлежащей верификации того, что источник данных или соединения является допустимым.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2024-23168Уязвимость в Xiexe XSOverlay до сборки 647 позволяет нелокальным веб-сайтам отправлять вредоносные команды в WebSocket API, что приводит к произвольному выполнению кода.

CVE-2014-125071В lukehutch Gribbit была обнаружена уязвимость. Она была классифицирована как проблематичная. Уязвима функция messageReceived файла src/gribbit/request/HttpRequestHandler.java. Манипуляция приводит к отсутствию проверки происхождения в веб-сокетах. Имя патча — 620418df247aebda3dd4be1dda10fe229ea505dd. Рекомендуется применить патч для устранения этой проблемы. Идентификатор этой уязвимости — VDB-217716.

CVE-2023-0957Проблема была обнаружена в Gitpod версий до release-2022.11.2.16. Существует уязвимость Cross-Site WebSocket Hijacking (CSWSH), которая позволяет злоумышленникам устанавливать WebSocket-соединения с сервером Gitpod JSONRPC, используя учетные данные жертвы, поскольку заголовок Origin не ограничен. Это может привести к извлечению данных из рабочих пространств, к полному захвату рабочего пространства.

CVE-2026-35589Нанобот - персональный помощник ИИ. Версий до 0,15 содержит уязвимость кросс-сайт WebSocket Hijacking (CSWSH) в сервере WebSocket моста в bridge/src/server.ts в результате неполного исправления CVE-2026-2577. Первоначальное исправление изменило привязку с 0.0.0.0 на 127.0.0.1 и добавило дополнительный параметр BRIDGE_TOKEN, но аутентификация токена отключена по умолчанию, и сервер не проверяет заголовок Origin во время рукопожатия WebSocket. Поскольку браузеры не применяют Политику одного и того же происхождения на WebSockets, если сервер явно не отрицает межпроисхотные соединения, любой веб-сайт, посещенный пользователем, работающим на мосту, может установить соединение WebSocket до ws://127.0.0.13001/ и получить полный доступ к API моста. Это позволяет злоумышленнику захватить сессию WhatsApp, прочитать входящие сообщения, украсть QR-коды аутентификации и отправлять сообщения от имени пользователя. Эта проблема исправлена в версии 0.1.5.

CVE-2023-26114Версии пакета code-server до 4.10.1 подвержены отсутствию проверки источника в подтверждениях WebSockets. Эксплуатация этой уязвимости может позволить злоумышленнику в определенных сценариях получить доступ к данным и подключиться к экземпляру code-server.

CVE-2025-52882Клод Код является инструментом агентного кодирования. Расширения кода Клода в VSCode и вилках (например, Cursor, Windsurf и VSCodium) и JetBrains IDE (например, IntelliJ, Pycharm и Android Studio) уязвимы для несанкционированных подключений к сети от злоумышленника при посещении веб-страниц, контролируемых злоумышленником. Код Клода для расширений VSCode IDE версии 0.2.116 до 1.0.23 уязвимы. Для плагинов Jetbrains IDE Claude Code [beta] версии от 0.1.1 до 0.1.8 уязвимы. В VSCode (и вилках) эксплуатация позволит злоумышленнику читать произвольные файлы, просматривать список файлов, открытый в IDE, получать события отбора и диагностики от IDE или выполнять код в ограниченных ситуациях, когда пользователь имеет открытый ноутбук Jupyter и принимает вредоносную подсказку. В JetBrains IDEs злоумышленник может получить события выбора, список открытых файлов и список синтаксических ошибок. Клод выпустил патч для этого выпуска 13 июня 2025 года. Хотя Claude Code автоматически обновляется, когда пользователь запускает его и автоматически обновляет расширения, пользователи должны предпринять следующие шаги, хотя точные шаги зависят от интегрированной среды разработки (IDE). Для VSCode, Cursor, Windsurf, VSCodium и других вилок VSCode проверьте расширение Claude Code для VSCode. Откройте список расширений (View->Extensions), найдите Claude Code для VSCode среди установленных расширений, обновите или удалите любую версию до 1.0.24 и перезапустите IDE. Для IDEs JetBrains, включая IntelliJ, PyCharm и Android Studio, проверьте плагин Claude Code [Beta]. Откройте список плагинов, нащите Claude Code [Beta] среди установленных расширений, обновите или утвердите любую версию до 0,19 и перезапустите IDE.

CVE-2025-24964Vitest — это фреймворк тестирования на основе Vite. Затронутые версии подвержены произвольному удаленному выполнению кода при доступе к вредоносному веб-сайту, когда API сервера Vitest прослушивает атаки перехвата веб-сокетов (CSWSH). Когда параметр `api` включен (интерфейс Vitest включает его), Vitest запускает сервер WebSocket. Этот сервер WebSocket не проверял заголовок Origin и не имел механизма аутентификации, что делало его уязвимым к атакам CSWSH. Этот сервер WebSocket имеет API `saveTestFile`, который может редактировать файл теста, и API `rerun`, который может повторно запустить тесты. Злоумышленник может выполнить произвольный код, внедрив код в файл теста через API `saveTestFile`, а затем запустив этот файл, вызвав API `rerun`. Эта уязвимость может привести к удаленному выполнению кода для пользователей, использующих API сервера Vitest. Эта проблема была исправлена в версиях 1.6.1, 2.1.9 и 3.0.5. Пользователям рекомендуется обновиться. Нет известных обходных путей.

CVE-2024-48849Уязвимость Missing Origin Validation in WebSockets во FLXEON. Управление сеансами было недостаточным для предотвращения несанкционированных HTTPS-запросов. Эта проблема затрагивает FLXEON: версии <= 9.3.4.

CVE-2023-49805Uptime Kuma — это простой в использовании инструмент мониторинга с самостоятельным размещением. До версии 1.23.9 приложение использует WebSocket (с Socket.io), но не проверяет, является ли источник связи действительным. Это позволяет стороннему веб-сайту получить доступ к приложению от имени своего клиента. При подключении к серверу с помощью Socket.IO сервер не проверяет заголовок `Origin`, что позволяет другому сайту открывать соединения с сервером и общаться с ним. Другим веб-сайтам все равно необходимо пройти аутентификацию для доступа к большинству функций, однако это можно использовать для обхода защиты брандмауэра, установленной людьми, развертывающими приложение. Без проверки источника Javascript, выполняемый из другого источника, может подключаться к приложению без какого-либо взаимодействия с пользователем. Без учетных данных для входа такое соединение не может получить доступ к защищенным конечным точкам, содержащим конфиденциальные данные приложения. Однако такое соединение может позволить злоумышленнику и дальше эксплуатировать невидимые уязвимости приложения. Пользователи с настроенным режимом «Без аутентификации», которые полагаются на обратный прокси или брандмауэр для обеспечения защиты приложения, будут особенно уязвимы, поскольку это предоставит злоумышленнику полный доступ к приложению. В версии 1.23.9 добавлена дополнительная проверка заголовка HTTP Origin в обработчик соединений socket.io. По умолчанию, если присутствует заголовок `Origin`, он будет проверен на соответствие заголовку Host. Соединение будет отклонено, если имена хостов не совпадают, что укажет на то, что запрос является межсайтовым. Соединение будет разрешено, если заголовок `Origin` отсутствует. Пользователи могут переопределить это поведение, установив переменную среды `UPTIME_KUMA_WS_ORIGIN_CHECK=bypass`.

CVE-2023-2848Movim до версии 0.22 подвержен уязвимости межсайтового захвата WebSocket. Это было результатом отсутствия проверки заголовка.

CVE-2025-54289В LXD версии 6.5 и 5.21.4 (а также в более ранних версиях) API operations раскрывает секретные значения, необходимые для установления WebSocket‑соединения при работе с терминальными и консольными сессиями. Эти секреты используются для аутентификации WebSocket‑соединений. Пользователь, обладающий лишь правом чтения, может получить секрет из ответа operations API и перехватить WebSocket‑соединение, открывающее терминал другого пользователя. Перехват позволяет выполнять произвольные команды внутри контейнера от имени жертвы, что приводит к повышению привилегий и потенциальному удалённому выполнению кода. Уязвимость была обнаружена исследователем и исправлена в LXD 6.5 и 5.21.4. [1] Источники: - [1] https://github.com/canonical/lxd/security/advisories/GHSA-3g72-chj4-2228

CVE-2025-61987Свободная версия GroupSession до ver5.3.0, GroupSession byCloud до ver5.3.3 и GroupSession ZION до ver5.3.2. не подтверждают происхождение WebSockets. Если пользователь получает доступ к созданной странице, информация чата, отправленная пользователю, может быть раскрыта.

CVE-2026-44514Kubetail - это приборная панель регистрации в реальном времени для Kubernetes. До 0,14.0 панель управления Kubetail обнажает конечные точки WebSocket, которые не в адекватных результатах проверки заголовка Origin при обновлении соединения. Вредоносная веб-страница, которую посещает пользователь с активным сеансом Kubetail, может открыть WebSocket на панели управления пользователя и прочитать их журналы Kubernetes в режиме реального времени. Это уязвимость кросс-сайтов WebSocket Hijacking (CSWSH) и влияет как на развертывание рабочего стола (по умолчанию http://localhost:7500), так и на развертывание кластеров (обычно за Ingress с базовым аутом HTTP). Эта уязвимость фиксируется в пункте 0.14.0.

CVE-2026-22689Mailpit - это инструмент тестирования электронной почты и API для разработчиков. До версии 1.28.2 сервер Mailpit WebSocket сконфигурирован для приема соединений любого происхождения. Это отсутствие валидации заголовка Origin вводит уязвимость Cross-Site WebSocket Hijacking (CSWSH). Злоумышленник может разместить вредоносный веб-сайт, который при посещении разработчиком, работающим в Mailpit локально, устанавливает подключение WebSocket к экземпляру Mailpit жертвы (по умолчанию ws://localhost:8025). Это позволяет злоумышленнику перехватывать конфиденциальные данные, такие как содержимое электронной почты, заголовки и статистика сервера в режиме реального времени. Этот вопрос был исправлен в версии 1.28.2.

CVE-2025-68930Версии системы GPS с открытым исходным кодом Traccar до 6.11.1 включительно содержат уязвимость угона веб-сокета Cross-Site (CSWSH) в конечной точке `/avi/socket`. Приложение не в состоянии проверить заголовок «Происхождение» во время рукопожатия WebSocket. Это позволяет удаленному злоумышленнику обойти Политику одного и того же происхождения (SOP) и установить полнодуплексное соединение WebSocket с использованием учетных данных законного пользователя (JSESSIONID). На момент публикации неясно, доступно ли исправление.