← volver
CVE-2025-56647

CVE-2025-56647

CVSS 6.5 MEDIUMEPSS 0.2%CWE-1385
En resumen

El servidor de desarrollo de Farm no valida el origen de las conexiones WebSocket, permitiendo que atacantes espíen desarrolladores y roben código fuente a través de páginas falsas.

Detalle técnico

La falta de validación de origen en el servidor WebSocket utilizado para recarga de módulos en caliente (HMR) en @farmfe/core anterior a la versión 1.7.6 permite conexiones WebSocket entre orígenes. Un atacante puede servir una página maliciosa a un desarrollador, establecer una conexión WebSocket no autorizada con el servidor HMR e interceptar el código fuente transmitido a través del canal sin validar.

Resumen generado y traducido por IA a partir de la descripción oficial.
npm @farmfe/core before 1.7.6 is Missing Origin Validation in WebSocket. The development (hot module reloading) server does not validate origin when connecting to a WebSocket client. This allows attackers to surveil developers running Farm who visit their webpage and steal source code that is leaked by the WebSocket server.
CVSS:3.1/AC:L/AV:N/A:N/C:H/I:N/PR:N/S:U/UI:R
Productos afectados
n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://gist.github.com/R4356th/d4372c6f83275d583c180c0e7d7332afhttps://github.com/farm-fe/farm/commit/83342ef06e0aea37270950fd8c930422c4df0679https://github.com/farm-fe/farm/issues/2168