CVE-2023-26114
CVE-2023-26114
Em resumo
Versões do code-server anteriores à 4.10.1 não validam corretamente a origem das conexões WebSocket, permitindo que um atacante engane o servidor para aceitar conexões de sites não confiáveis e acessar dados sensíveis ou funcionalidades.
Detalhe técnico
A vulnerabilidade ocorre na validação do handshake WebSocket, onde o cabeçalho de origem não é verificado adequadamente (CWE-1385, CWE-346). Um atacante pode estabelecer uma conexão WebSocket de uma origem maliciosa para uma instância vulnerável de code-server, contornando proteções CORS e obtendo acesso não autorizado a dados e funcionalidades do servidor sem exigir autenticação direta.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Versions of the package code-server before 4.10.1 are vulnerable to Missing Origin Validation in WebSockets handshakes. Exploiting this vulnerability can allow an adversary in specific scenarios to access data from and connect to the code-server instance.
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:L/E:P
Produtos afetados
n/a · code-serverQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →