技术说明
Cline(一个拥有10万多个GitHub星标的自主编码代理,可作为VS Code扩展、SDK和CLI使用)在其Kanban服务器组件中包含一个严重的跨源WebSocket劫持漏洞。版本2.13.0及更早版本启动一个本地WebSocket服务器,不进行Origin验证,也没有会话令牌。开发人员浏览器中访问的任何恶意网站都可以跨越源边界,无声地连接到本地Cline Kanban WebSocket,窃取工作区文件和存储库内容,并将任意命令注入到运行的AI代理中。Oasis Security发布了主要技术咨询(根据其评分CVSS 9.7),CVE在NVD上被分配CVSS 9.6。该漏洞从v0.1.66开始在Cline Kanban组件中被修复;但是,主要的Cline包(至2.13.0)仍在NVD上列为易受攻击,在发布时没有公开可用的补丁。
攻击途径
运行Cline的开发人员访问恶意网页(例如,通过钓鱼、恶意广告或受损网站)。网页的JavaScript连接到Cline的Kanban服务器使用的localhost WebSocket端口——不执行身份验证或Origin检查。攻击者可以读取工作区数据、列出文件、窃取源代码,并注入导致Cline在开发人员凭证下执行shell命令的任务指令。
受影响系统
Cline版本2.13.0及更早版本(VS Code扩展、SDK、CLI)。漏洞利用链需要开发人员在浏览网络时运行Cline的Kanban服务器(通过Cline UI启用)。
缓解措施
1)在补丁版本发布前,在设置中禁用Cline的Kanban服务器功能。2)如果单独使用Kanban组件,升级到Cline Kanban v0.1.66或更高版本。3)限制开发人员工作站在AI编码代理处于活动状态时浏览不信任的网站。4)监控开发人员机器的出站连接是否存在意外数据传输。5)观察官方Cline包更新(2.13.0之后),解决NVD列出的漏洞。