目标达成 感谢每一位支持者 — 我们达成了 100% 目标!

目标: 1000 元 · 已筹: 1000

100.0%
请我们喝杯咖啡

CWE-1385 类漏洞列表 25

CWE-1385 类弱点 25 条 CVE 漏洞汇总,含 AI 中文分析。

CWE-1385 指 WebSocket 通信中缺失源验证的漏洞,属于身份验证缺陷。攻击者常通过构造恶意网页,利用受害者浏览器建立 WebSocket 连接,从而窃取敏感数据或执行未授权操作。开发者应在握手阶段严格校验 Origin 头部,确保仅接受来自可信域名的请求,并实施白名单机制,以有效防止跨站 WebSocket 劫持风险。

MITRE CWE 官方描述
CWE:CWE-1385 WebSockets 中缺少源验证 (Missing Origin Validation in WebSockets) 英文:产品使用了 WebSocket,但未正确验证数据或通信来源的有效性。 WebSocket 在客户端和服务器之间提供双向低延迟通信(近实时)。WebSocket 与 HTTP 的不同之处在于,连接是长连接的,因为通道将保持打开状态,直到客户端或服务器准备发送消息,而在 HTTP 中,一旦响应发生(通常立即发生),事务即完成。WebSocket 可以利用端口 80 和 443 上的现有 HTTP 协议,但不局限于 HTTP。WebSocket 可以发起跨域请求,这些请求不受基于浏览器的保护机制(如同源策略 (Same Origin Policy, SOP) 或跨源资源共享 (Cross-Origin Resource Sharing, CORS))的限制。如果没有显式的源验证,这将使跨站请求伪造 (CSRF) 攻击更加强大。
常见影响 (1)
Confidentiality, Integrity, Availability, Non-Repudiation, Access ControlVaries by Context, Gain Privileges or Assume Identity, Bypass Protection Mechanism, Read Application Data, Modify Application Data, DoS: Crash, Exit, or Restart
The consequences will vary depending on the nature of the functionality that is vulnerable to CSRF. An attacker could effectively perform any operations as the victim. If the victim is an administrator or privileged user, the consequences may include obtaining complete control over the web applicati…
缓解措施 (5)
ImplementationEnable CORS-like access restrictions by verifying the 'Origin' header during the WebSocket handshake.
ImplementationUse a randomized CSRF token to verify requests.
ImplementationUse TLS to securely communicate using 'wss' (WebSocket Secure) instead of 'ws'.
Architecture and Design, ImplementationRequire user authentication prior to the WebSocket connection being established. For example, the WS library in Node has a 'verifyClient' function.
ImplementationLeverage rate limiting to prevent against DoS. Use of the leaky bucket algorithm can help with this.
Effectiveness: Defense in Depth
CVE ID标题CVSS风险等级Published
CVE-2026-34403 Nginx UI 安全漏洞 — nginx-ui 8.8AIHighAI2026-04-20
CVE-2026-35589 nanobot 安全漏洞 — nanobot 8.0 High2026-04-14
CVE-2026-27977 Next.js 安全漏洞 — next.js 7.1 -2026-03-17
CVE-2026-1692 PcVue 安全漏洞 — PcVue 5.4AIMediumAI2026-02-26
CVE-2025-68930 Traccar 安全漏洞 — traccar 7.1 High2026-02-23
CVE-2026-22689 Mailpit 安全漏洞 — mailpit 6.5 Medium2026-01-10
CVE-2026-21883 bokeh 安全漏洞 — bokeh 4.3 -2026-01-08
CVE-2025-61987 Japan Total System多款产品 安全漏洞 — GroupSession Free edition 4.3AIMediumAI2025-12-12
CVE-2025-54289 LXD 安全漏洞 — LXD 8.8AIHighAI2025-10-02
CVE-2024-51775 Apache Zeppelin 安全漏洞 — Apache Zeppelin 5.3 -2025-08-03
CVE-2025-36116 IBM Db2 Mirror for i 安全漏洞 — Db2 Mirror for i 6.3 Medium2025-07-23
CVE-2025-52882 Claude Code 安全漏洞 — claude-code 7.1AIHighAI2025-06-24
CVE-2025-48068 Next.js 安全漏洞 — next.js 2.5AILowAI2025-05-30
CVE-2024-8201 Hitachi Ops Center Analyzer 安全漏洞 — Hitachi Ops Center Analyzer 5.4 Medium2025-05-16
CVE-2025-24964 Vitest 安全漏洞 — vitest 9.7 Critical2025-02-04
CVE-2024-48849 ABB FLXeon 安全漏洞 — FLXEON 9.4 Critical2025-01-29
CVE-2023-32264 OpenText Documentum D2 安全漏洞 — Documentum D2 5.8 Medium2024-03-08
CVE-2023-49805 Uptime Kuma 安全漏洞 — uptime-kuma 6.0 Medium2023-12-11
CVE-2023-2848 Movim 访问控制错误漏洞 — Movim 8.0 High2023-09-14
CVE-2023-2850 NodeBB 访问控制错误漏洞 — NodeBB 4.7 Medium2023-07-25
CVE-2023-2886 CBOT Chatbot 访问控制错误漏洞 — Chatbot 4.3 Medium2023-05-25
CVE-2023-30856 eDEX-UI 访问控制错误漏洞 — edex-ui 8.3 High2023-04-28
CVE-2023-26114 Coder Code-Server 访问控制错误漏洞 — code-server 8.2 High2023-03-23
CVE-2023-0957 Gitpod 访问控制错误漏洞 — Gitpod 8.2 High2023-03-03
CVE-2014-125071 The Gribbit Web Framework 访问控制错误漏洞 — Gribbit 5.5 Medium2023-01-09

CWE-1385 是常见的弱点类别,本平台收录该类弱点关联的 25 条 CVE 漏洞。