| タイトル | nanobotにおける WebSocket でのオリジン検証の欠如に関する脆弱性 |
|---|---|
| 概要 | nanobotはパーソナルAIアシスタントです。バージョン0.1.5以前のbridge/src/server.tsのブリッジのWebSocketサーバーには、クロスサイトWebSocketハイジャックの脆弱性が存在していました。この問題は不完全な修正により発生し、トークン認証がデフォルトで無効化されていたことと、WebSocketハンドシェイク中にOriginヘッダーの検証が行われていなかったことが原因でした。ブラウザはサーバーが明示的にクロスオリジン接続を拒否しない限り、WebSocketにSame-Origin Policyを適用しないため、攻撃者は任意のウェブサイトからws://127.0.0.1:3001/への接続を確立して、ブリッジAPIへ完全にアクセスできました。これにより、攻撃者はWhatsAppセッションを乗っ取り、受信メッセージを読み取り、認証QRコードを盗み、ユーザーに代わってメッセージを送信できました。この脆弱性はバージョン0.1.5で修正されました。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月14日0:00 |
| 登録日 | 2026年4月27日11:21 |
| 最終更新日 | 2026年4月27日11:21 |
| CVSS3.0 : 緊急 | |
| スコア | 9.3 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N |
| nanobot |
| nanobot 0.1.5 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年04月27日] 掲載 |
2026年4月27日11:21 |
| 概要 | nanobot is a personal AI assistant. Versions prior to 0.1.5 contain a Cross-Site WebSocket Hijacking (CSWSH) vulnerability exists in the bridge's WebSocket server in bridge/src/server.ts, resulting from an incomplete remediation of CVE-2026-2577. The original fix changed the binding from 0.0.0.0 to 127.0.0.1 and added an optional BRIDGE_TOKEN parameter, but token authentication is disabled by default and the server does not validate the Origin header during the WebSocket handshake. Because browsers do not enforce the Same-Origin Policy on WebSockets unless the server explicitly denies cross-origin connections, any website visited by a user running the bridge can establish a WebSocket connection to ws://127.0.0.1:3001/ and gain full access to the bridge API. This allows an attacker to hijack the WhatsApp session, read incoming messages, steal authentication QR codes, and send messages on behalf of the user. This issue has bee fixed in version 0.1.5. |
|---|---|
| 公表日 | 2026年4月15日8:16 |
| 登録日 | 2026年4月15日11:42 |
| 最終更新日 | 2026年4月24日2:39 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:nanobot:nanobot:*:*:*:*:*:python:*:* | 0.1.5 | ||||