关键信息 漏洞概述 漏洞描述: WebSocket端点 在启用了 的情况下仍可无需认证访问。 CVE ID: CVE-2025-54376 严重性: 中等 影响版本 受影响版本: <= 1.11.3 修复版本: 无 弱点 CWE编号: CWE-200, CWE-287 报告者 报告人: Kr1shna4garwal 漏洞详情 摘要: Hoverfly的管理WebSocket端点 未受到与REST管理API相同的认证中间件保护。因此,未经认证的远程攻击者可以: - 实时流式传输应用程序日志(信息泄露)。 - 获取内部文件路径、请求/响应体和其他潜在敏感数据的洞察。 证明概念 (PoC) 1. 启动Hoverfly并启用认证: 2. 确认REST API需要凭据: 3. 在没有凭据的情况下连接到WebSocket端点: 影响 认证绕过,攻击者可以接收完整的应用程序日志,包括代理请求/响应体、令牌、文件路径等。