CVE-2023-26114
CVE-2023-26114
En resumen
Las versiones de code-server anteriores a 4.10.1 no validan adecuadamente el origen de las conexiones WebSocket, permitiendo que un atacante engañe al servidor para aceptar conexiones de sitios web no confiables y acceder a datos sensibles o funcionalidades.
Detalle técnico
La vulnerabilidad existe en la validación del protocolo de enlace WebSocket donde el encabezado de origen no se verifica correctamente (CWE-1385, CWE-346). Un atacante puede establecer una conexión WebSocket desde un origen malicioso a una instancia vulnerable de code-server, omitiendo protecciones CORS y obteniendo acceso no autorizado a datos y funcionalidades del servidor sin requerir autenticación directa.
Resumen generado y traducido por IA a partir de la descripción oficial.
Versions of the package code-server before 4.10.1 are vulnerable to Missing Origin Validation in WebSockets handshakes. Exploiting this vulnerability can allow an adversary in specific scenarios to access data from and connect to the code-server instance.
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:L/E:P
Productos afectados
n/a · code-server¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →