关键信息 漏洞概述 漏洞名称: Cross-site WebSocket Hijacking CVE ID: CVE-2025-55300 严重性: High (8.6/10) 受影响版本: < 1.0.4 修复版本: 1.0.4-fix1 漏洞详情 描述: WebSocket升级器禁用了源检查,允许对已认证用户进行跨站点WebSocket劫持(CSWSH)攻击。 代码片段: 影响: 第三方网站可以使用浏览器的cookie向终端WebSocket端点发送请求,导致远程代码执行。 PoC步骤 1. 登录到你的komari实例。 2. 在互联网上托管以下HTML代码,替换 和 。 3. 访问此HTML页面,可以看到你的节点在没有你操作的情况下执行 命令。 影响 管理员在访问恶意页面时,会在其节点上未被注意地执行命令。