CVE-2025-56647
CVE-2025-56647
Em resumo
O servidor de desenvolvimento do Farm não verifica a origem das conexões WebSocket, permitindo que atacantes espionem desenvolvedores e roubem código-fonte através de páginas falsas.
Detalhe técnico
A falta de validação de origem no servidor WebSocket usado para recarga de módulos quentes (HMR) no @farmfe/core anterior à versão 1.7.6 permite conexões WebSocket de origem cruzada. Um atacante pode servir uma página maliciosa a um desenvolvedor, estabelecer uma conexão WebSocket não autorizada com o servidor HMR e interceptar o código-fonte transmitido pelo canal sem validação.
Resumo gerado e traduzido por IA a partir da descrição oficial.
npm @farmfe/core before 1.7.6 is Missing Origin Validation in WebSocket. The development (hot module reloading) server does not validate origin when connecting to a WebSocket client. This allows attackers to surveil developers running Farm who visit their webpage and steal source code that is leaked by the WebSocket server.
CVSS:3.1/AC:L/AV:N/A:N/C:H/I:N/PR:N/S:U/UI:R
Produtos afetados
n/a · n/aQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →