Npm · Kanban · CVE-2026-44211
**Nome do Software Vulnerável e Versões Afetadas**
kanban versões 0.1.0 até 0.1.59
cline versões anteriores a 2.13.1
**Descrição**
O pacote npm `kanban`, utilizado pela CLI `cline`, implementa um servidor WebSocket em `127.0.0.1:3484` que carece de validação do cabeçalho Origin. Como as conexões WebSocket ignoram as restrições de Cross-Origin Resource Sharing (CORS), qualquer site visitado por um desenvolvedor pode se conectar silenciosamente a este servidor. Isso permite que um site malicioso vaze dados sensíveis em tempo real, incluindo caminhos do sistema de arquivos do workspace, informações de branch do git, títulos de tarefas e mensagens de chat do agente de IA. Além disso, um invasor pode sequestrar terminais de agentes de IA em execução injetando prompts arbitrários, o que pode levar à execução remota de código (RCE), ou encerrar sessões ativas, resultando em negação de serviço. O problema afeta os seguintes endpoints:
- 'ws://127.0.0.1:3484/api/runtime/ws'
- 'ws://127.0.0.1:3484/api/terminal/io'
- 'ws://127.0.0.1:3484/api/terminal/control'
**Recomendações**
Para as versões 0.1.0 até 0.1.59 do kanban, valide o cabeçalho Origin em todas as solicitações de upgrade de WebSocket para rejeitar conexões de origens que não sejam a própria interface do kanban.
Para versões do cline anteriores a 2.13.1, atualize as ferramentas de CLI para uma versão que contenha a correção.
Implemente um token de sessão gerado na inicialização do servidor que deve ser fornecido como um parâmetro de consulta para todas as conexões WebSocket.
Autentique as conexões WebSocket do terminal para verificar se o cliente é a interface legítima do kanban.