nanobotにおける WebSocket でのオリジン検証の欠如に関する脆弱性
| Title |
nanobotにおける WebSocket でのオリジン検証の欠如に関する脆弱性
|
| Summary |
nanobotはパーソナルAIアシスタントです。バージョン0.1.5以前のbridge/src/server.tsのブリッジのWebSocketサーバーには、クロスサイトWebSocketハイジャックの脆弱性が存在していました。この問題は不完全な修正により発生し、トークン認証がデフォルトで無効化されていたことと、WebSocketハンドシェイク中にOriginヘッダーの検証が行われていなかったことが原因でした。ブラウザはサーバーが明示的にクロスオリジン接続を拒否しない限り、WebSocketにSame-Origin Policyを適用しないため、攻撃者は任意のウェブサイトからws://127.0.0.1:3001/への接続を確立して、ブリッジAPIへ完全にアクセスできました。これにより、攻撃者はWhatsAppセッションを乗っ取り、受信メッセージを読み取り、認証QRコードを盗み、ユーザーに代わってメッセージを送信できました。この脆弱性はバージョン0.1.5で修正されました。
|
| Possible impacts |
当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 14, 2026, midnight |
| Registration Date |
April 27, 2026, 11:21 a.m. |
| Last Update |
April 27, 2026, 11:21 a.m. |
|
CVSS3.0 : 緊急
|
| Score |
9.3
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N |
Affected System
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年04月27日]
掲載 |
April 27, 2026, 11:21 a.m. |
NVD Vulnerability Information
CVE-2026-35589
| Summary |
nanobot is a personal AI assistant. Versions prior to 0.1.5 contain a Cross-Site WebSocket Hijacking (CSWSH) vulnerability exists in the bridge's WebSocket server in bridge/src/server.ts, resulting from an incomplete remediation of CVE-2026-2577. The original fix changed the binding from 0.0.0.0 to 127.0.0.1 and added an optional BRIDGE_TOKEN parameter, but token authentication is disabled by default and the server does not validate the Origin header during the WebSocket handshake. Because browsers do not enforce the Same-Origin Policy on WebSockets unless the server explicitly denies cross-origin connections, any website visited by a user running the bridge can establish a WebSocket connection to ws://127.0.0.1:3001/ and gain full access to the bridge API. This allows an attacker to hijack the WhatsApp session, read incoming messages, steal authentication QR codes, and send messages on behalf of the user. This issue has bee fixed in version 0.1.5.
|
| Publication Date |
April 15, 2026, 8:16 a.m. |
| Registration Date |
April 15, 2026, 11:42 a.m. |
| Last Update |
April 24, 2026, 2:39 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:nanobot:nanobot:*:*:*:*:*:python:*:* |
|
|
|
0.1.5 |
Related information, measures and tools
Common Vulnerabilities List