CVE-2026-35589

Name of the Vulnerable Software and Affected Versions nanobot versões anteriores a 0.1.5

Description Um problema de Cross-Site WebSocket Hijacking (CSWSH) existe no servidor WebSocket da ponte em bridge/src/server.ts. O servidor não valida o cabeçalho Origin durante o handshake do WebSocket, e a autenticação por token através do parâmetro BRIDGE TOKEN está desativada por padrão. Como os navegadores não impõem a Same-Origin Policy em WebSockets, a menos que o servidor negue explicitamente conexões de origens cruzadas, qualquer site visitado por um usuário pode estabelecer uma conexão com o endpoint 'ws://127.0.0.1:3001/'. Isso permite que um invasor obtenha acesso total à API da ponte, sequestre a sessão do WhatsApp, leia mensagens recebidas, roube códigos QR de autenticação e envie mensagens em nome do usuário.

Recommendations Atualizar para a versão 0.1.5.