Cline Kanban Server has a Cross-Origin WebSocket Hijacking Vulnerability

El Cline Kanban Server versiones 2.13.0 y anteriores permite que atacantes de otros sitios web secuestren conexiones WebSocket, potencialmente controlando el servidor o robando datos sensibles. Esto ocurre porque el servidor no verifica adecuadamente que las solicitudes provengan de fuentes confiables.

Existe una vulnerabilidad de secuestro de WebSocket entre orígenes en Cline Kanban Server ≤2.13.0 donde la validación insuficiente de origen permite que atacantes establezcan conexiones WebSocket desde dominios maliciosos (CWE-1385: Codificación Inadecuada de Salida; CWE-306: Autenticación Ausente para Función Crítica). Un atacante puede crear una página maliciosa que, cuando es visitada por un usuario con una sesión Cline activa, establece un canal WebSocket autenticado hacia el servidor objetivo, potencialmente logrando ejecución de comandos o exfiltración de datos.