https://blog.qife122.com/tags/%E9%82%AE%E4%BB%B6%E6%B5%8B%E8%AF%95%E5%B7%A5%E5%85%B7/ Recent content in 邮件测试工具 on 办公AI智能小助手 Hugo zh-cn qife Mon, 12 Jan 2026 13:53:32 +0800 https://blog.qife122.com/p/cve-2026-22689%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90mailpit-websocket-%E8%B5%B7%E6%BA%90%E9%AA%8C%E8%AF%81%E7%BC%BA%E5%A4%B1%E6%BC%8F%E6%B4%9E/ Mon, 12 Jan 2026 13:53:32 +0800 https://blog.qife122.com/p/cve-2026-22689%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90mailpit-websocket-%E8%B5%B7%E6%BA%90%E9%AA%8C%E8%AF%81%E7%BC%BA%E5%A4%B1%E6%BC%8F%E6%B4%9E/ <h1 id="cve-2026-22689-cwe-1385-axllent-mailpit-中-websocket-的起源验证缺失">CVE-2026-22689: CWE-1385: axllent mailpit 中 WebSocket 的起源验证缺失</h1> <p><strong>严重性：中等</strong> <strong>类型：漏洞</strong></p> <h2 id="描述">描述</h2> <p>Mailpit 是一款面向开发者的电子邮件测试工具和 API。在 1.28.2 版本之前，Mailpit WebSocket 服务器配置为接受来自任何来源的连接。这种 Origin 头验证的缺失引入了跨站 WebSocket 劫持 (CSWSH) 漏洞。攻击者可以托管一个恶意网站，当在本地运行 Mailpit 的开发者访问该网站时，会与受害者的 Mailpit 实例（默认 ws://localhost:8025）建立 WebSocket 连接。这使得攻击者能够实时拦截敏感数据，例如电子邮件内容、头部和服务器统计信息。此问题已在版本 1.28.2 中得到修复。</p>