CRITICAL🇬🇧 English

CVE-2026-44211

Cross-origin WebSocket hijack w Cline Kanban servers

CVSS 9.6v3.1pub. 2026-06-01upd. 2026-06-03

W wersjach 2.13.0 i wcześniejszych narzędzia Cline (autonomiczny agent kodowania) istnieje podatność cross-origin WebSocket hijack w komponentach Cline Kanban servers. Podatność uzyskała ocenę CVSS 9.6 (CRITICAL), co wskazuje na poważne ryzyko dla użytkowników.

Pokaż oryginał (EN)

Cline is an autonomous coding agent as an SDK, IDE extension, or CLI assistant. In versions 2.13.0 and prior, there is a cross-origin WebSocket hijack vulnerability in Cline Kanban servers. At time of publication, there are no publicly available patches.

🤖 Analiza AI
Jak działa

Atak polega na przejęciu połączenia WebSocket z serwera Cline Kanban poprzez nieautoryzowane żądania z innego źródła (cross-origin). Podatność powiązana jest z CWE-306 (brak uwierzytelnienia krytycznych funkcji) oraz CWE-1385 (nieprawidłowa weryfikacja źródła WebSocket), co oznacza, że serwer nie weryfikuje poprawnie, czy żądanie pochodzi z zaufanego źródła. W efekcie złośliwa strona internetowa odwiedzona przez ofiarę może nawiązać nieautoryzowane połączenie WebSocket z lokalnym serwerem Cline i wykonywać działania w imieniu użytkownika.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do sesji WebSocket ofiary, co potencjalnie prowadzi do pełnego naruszenia poufności, integralności oraz dostępności danych i funkcji środowiska Cline — w tym możliwości wykonywania poleceń agenta kodowania.

Mitygacja

W momencie publikacji nie istnieją publicznie dostępne patche. Należy śledzić repozytorium producenta (https://github.com/cline/cline) i zastosować patche niezwłocznie po ich udostępnieniu. Do czasu wydania poprawki zaleca się ograniczenie dostępu do komponentu Cline Kanban servers oraz unikanie korzystania z Cline w środowiskach, gdzie użytkownik może odwiedzać niezaufane strony internetowe.

Kogo dotyczy

Cline w wersjach 2.13.0 i wcześniejszych (jako SDK, rozszerzenie IDE lub asystent CLI), korzystających z komponentu Cline Kanban servers

Uwagi

W momencie publikacji (2026-06-01) brak jest publicznie dostępnych poprawek dla tej podatności — informacja wprost wskazana w opisie oryginalnym.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H
  • Cline

    APP
    Cline
    ≤ 2.13.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-30313CRITICAL9.8PL ✓ten sam produkt

Command Injection w module auto-akceptacji komend DSAI-Cline (RCE)